К масштабной кампании по взлому аккаунтов в Signal могут быть причастны российские хакеры, которых эксперты связывают с государственными структурами.
Иностранные политики, правительственные чиновники и журналисты по всему миру стали жертвами кампании по взлому аккаунтов в мессенджере Signal. Немецкое издание Correctiv сообщило о цифровых признаках, указывающих на возможную причастность спонсируемых государством российских хакеров.
Пострадавшие пользователи получали сообщения от профиля с ником Signal Support. В этих сообщениях утверждалось, что учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники могли перехватить аккаунт, просматривать список контактов и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, выглядевшие как приглашения в канал WhatsApp, но фактически ведущие на фишинговые сайты.
В числе взломанных оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также лишился доступа к своему аккаунту Билл Браудер, англо‑американский инвестор и давний критик российской власти.
О попытках захвата аккаунтов высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее предупреждала разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, но не привели технических доказательств. Аналогичное заявление опубликовало и американское ФБР.
Представители Signal завили, что осведомлены о происходящем и относятся к этому крайне серьезно. При этом в компании подчеркнули, что речь не идет о взломе шифрования — используется социальная инженерия и перехват кодов, а не эксплуатация уязвимости шифра.
По данным Correctiv, сайты, на которые вели присылаемые ссылки, были размещены на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в расследованиях о государственных пропагандистских и криминальных кампаниях, связанных с Россией. Сам Aeza и его основатель уже находятся под санкциями США и Великобритании.
Во фишинговые сайты был встроен инструмент под названием «Дефишер». Его предлагали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По информации Correctiv, поставщик инструмента — молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, однако примерно год назад, по данным экспертов по информационной безопасности, им стали активно пользоваться и спонсируемые государством российские хакерские структуры.
Эксперты по кибербезопасности полагают, что за нынешней кампанией может стоять группировка UNC5792, ранее обвинявшаяся в проведении аналогичных фишинговых операций в разных странах.
Год назад аналитики Google публиковали расследование, согласно которому та же группировка UNC5792 рассылала украинским военнослужащим фишинговые ссылки и коды для входа, пытаясь получить доступ к их аккаунтам.
