За массовой кампанией по взлому аккаунтов в мессенджерах могут стоять российские хакеры, связанные с государственными структурами.
Иностранные политики, правительственные чиновники и журналисты по всему миру оказались жертвами целевой кампании по захвату аккаунтов в Signal. По данным расследователей издания Correctiv, цифровые следы указывают на участие спонсируемых государством российских хакеров.
Жертвам приходили сообщения от профиля с именем Signal Support. В них утверждалось, что учетная запись якобы находится под угрозой, поэтому нужно ввести PIN‑код, отправленный приложением. После этого злоумышленники получали контроль над аккаунтом, могли просматривать контакты и читать входящие сообщения.
Кроме того, пользователям рассылались ссылки, замаскированные под приглашения в канал WhatsApp. На деле они вели на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент германской разведслужбы BND Арндт Фрейтаг фон Лоринговен. Также лишился доступа к своему аккаунту англо‑американский финансист и критик российских властей Билл Браудер.
О попытках захвата аккаунтов высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее сообщала и разведывательная служба Нидерландов, связав кампанию с российскими спецслужбами, однако без публикации технических доказательств. Аналогичное предупреждение выпустило и ФБР США.
Руководство Signal заявило, что осведомлено о происходящем и относится к инциденту максимально серьезно, подчеркнув при этом, что проблема не связана с уязвимостью шифрования в мессенджере.
Расследователи установили, что сайты, на которые вели ссылки в сообщениях, были размещены на серверах хостинг‑провайдера Aeza. Этот провайдер ранее фигурировал в кампаниях российской пропаганды и киберпреступности, которые, по данным западных служб, поддерживались государством. И сама компания, и ее основатель находятся под санкциями США и Великобритании.
Во фишинговые сайты был встроен специализированный инструмент «Дефишер». Его предлагали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По сведениям Correctiv, разработчиком выступает молодой фрилансер из Москвы. Изначально ПО создавалось для киберпреступников, но примерно год назад им начали пользоваться и группы, которые, по оценке экспертов по информационной безопасности, действуют при поддержке российских госструктур.
Эксперты по ИБ полагают, что за кампанией может стоять хакерская группировка UNC5792, ранее обвинявшаяся в проведении схожих фишинговых операций в других странах.
Около года назад аналитики Google публиковали отчет, в котором говорилось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
