Иностранные политики, высокопоставленные чиновники и журналисты в разных странах столкнулись с масштабной фишинговой кампанией, нацеленной на взлом их аккаунтов в мессенджере Signal. Киберэксперты и спецслужбы нескольких государств указывают на возможную причастность российских хакеров, которых считают связанными с государственными структурами.
Иллюстрация, созданная с использованием нейросетевых технологий
Как работала схема взлома в Signal
По данным расследователей, пользователям приходили сообщения от профиля с ником Signal Support. В них утверждалось, что учетная запись якобы находится под угрозой, и для ее сохранения необходимо ввести PIN‑код, отправленный приложением. Если жертва следовала инструкции, злоумышленники получали контроль над аккаунтом, могли просматривать контакты и читать входящие сообщения.
Кроме того, пострадавшим направляли ссылки, замаскированные под приглашения в канал WhatsApp. На деле эти URL вели не в мессенджер, а на поддельные сайты, созданные для кражи данных.
Кто оказался в числе жертв
Среди атакованных — бывший заместитель руководителя Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. О потере доступа к своему аккаунту также сообщал англо‑американский финансист и критик российских властей Билл Браудер.
Реакция спецслужб и заявления о причастности России
Разведывательная служба Нидерландов информировала о попытках захвата аккаунтов высокопоставленных лиц и военнослужащих в Signal и WhatsApp. В опубликованных материалах кампания связывается с российскими спецслужбами, однако конкретные технические доказательства не приводятся. Аналогичное предупреждение выпустило ФБР США, заявив о целенаправленных атаках на пользователей коммерческих мессенджеров.
Позиция разработчиков Signal
Представители мессенджера Signal сообщили, что знают о происходящем и относятся к инцидентам максимально серьезно. При этом они подчеркнули, что речь идет не о взломе или уязвимости шифрования, а о социальной инженерии и злоупотреблении процедурами восстановления доступа.
Инфраструктура атак: хостинг, «Дефишер» и предполагаемые исполнители
Расследователи выяснили, что фишинговые сайты, на которые вели вредоносные ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее фигурировал в ряде кампаний, связанных с российской пропагандой и киберпреступной активностью. И сама компания, и ее основатель уже находятся под санкциями США и Великобритании.
Во вредоносные веб‑страницы был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. Согласно данным расследователей, разработчиком инструмента является молодой фрилансер из Москвы. Изначально продукт ориентировался на киберпреступников, однако примерно год назад, по оценке экспертов по информационной безопасности, его начали активно использовать группировки, которые связывают с российскими госструктурами.
След UNC5792 и атаки на военных
Специалисты по IT‑безопасности полагают, что за нынешней фишинговой кампанией может стоять хакерская группировка UNC5792. Эту структуру ранее обвиняли в аналогичных операциях против пользователей в разных странах.
Около года назад аналитики Google публиковали отчет, в котором говорилось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
