Политики, сотрудники государственных структур и журналисты из разных стран стали мишенью масштабной киберкампании по захвату аккаунтов в мессенджере Signal, а также через поддельные приглашения в WhatsApp. По данным расследователей и экспертов по кибербезопасности, за операцией могут стоять хакеры из России, предположительно действующие при поддержке государственных структур.
Получателям приходили сообщения от профиля с именем Signal Support. В тексте утверждалось, что их учетная запись якобы находится под угрозой, и для защиты необходимо ввести PIN‑код, отправленный приложением. Введённый код позволял злоумышленникам перехватить аккаунт, просматривать список контактов и читать входящие сообщения.
Помимо этого, жертвам рассылали ссылки, замаскированные под приглашения в канал WhatsApp. На деле они перенаправляли пользователей на фишинговые сайты, созданные для кражи данных.
Среди пострадавших оказались бывший заместитель руководителя немецкой внешней разведывательной службы BND Арндт Фрейтаг фон Лоринговен, а также англо‑американский финансист и критик российских властей Билл Браудер, который сообщал о потере доступа к своему аккаунту.
О попытках завладеть учетными записями высокопоставленных чиновников и военнослужащих в Signal и WhatsApp также заявляла разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, хотя прямые доказательства публично не привели. Похожее предупреждение публиковало и Федеральное бюро расследований США.
Представители Signal сообщили, что осведомлены о происходящем и относятся к инцидентам максимально серьёзно, при этом подчеркнули, что речь не идёт о взломе или уязвимости используемого в мессенджере шифрования: злоумышленники эксплуатируют доверие пользователей к службе поддержки и механизмы восстановления доступа.
Расследователям удалось установить, что фишинговые сайты размещались на серверах хостинг‑провайдера Aeza, который уже фигурировал в предыдущих кампаниях, связанных с российской пропагандой и киберпреступностью, приписываемыми государственным структурам. Компания и её основатель находятся под санкциями США и Великобритании.
На мошеннические веб‑страницы был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком выступает молодой фрилансер из Москвы. Изначально продукт предлагался обычным киберпреступникам, но примерно год назад, по оценке специалистов в области информационной безопасности, его начали использовать и хакерские группы, которых считаются подконтрольными государству.
Эксперты по информационной безопасности полагают, что за этой операцией может стоять группировка UNC5792, ранее обвинявшаяся в организации аналогичных фишинговых кампаний за рубежом.
Около года назад аналитики Google публиковали отчёт, в котором указывалось, что UNC5792 рассылала фишинговые ссылки и коды подтверждения украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
