Крупная международная фишинговая кампания по взлому аккаунтов в Signal затронула иностранных политиков, госчиновников и журналистов. Цифровые улики, собранные расследователями и специалистами по кибербезопасности, указывают на причастность российских хакеров, предположительно работающих при поддержке государства.
Как работала фишинговая схема
Пользователям приходили сообщения от профиля под именем Signal Support, в которых утверждалось, что их учетная запись якобы находится под угрозой. Для сохранения доступа «служба поддержки» предлагала ввести PIN‑код, отправленный приложением.
Если жертва вводила код, злоумышленники получали контроль над учетной записью, могли просматривать список контактов и читать входящие сообщения.
Помимо этого, адресатам рассылали ссылки, маскируемые под приглашение в канал WhatsApp. На деле они вели на специально подготовленные фишинговые сайты.
Кого задела атака
Среди пострадавших оказался бывший вице‑президент германской внешней разведки BND Арндт Фрейтаг фон Лоринговен. Также о потере своего аккаунта сообщал англо‑американский инвестор и давний критик Кремля Билл Браудер.
О попытках захвата учетных записей высокопоставленных чиновников и военных в Signal и WhatsApp информировала и разведывательная служба Нидерландов, заявив, что видит за кампанией след российских спецслужб, хотя прямых доказательств не представила. Похожие выводы опубликовало и ФБР США.
Реакция Signal и технические улики
Разработчики Signal сообщили, что знают о проблеме и относятся к ней максимально серьезно, подчеркнув при этом, что атака не связана с уязвимостями в шифровании мессенджера и опирается именно на обман пользователей.
Расследователи установили, что сайты, на которые вели фишинговые ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер уже фигурировал в прошлых государственных пропагандистских и криминальных кампаниях, приписываемых России. И компания, и ее владелец находятся под санкциями США и Великобритании.
«Дефишер» и возможные исполнители
Во фишинговые веб‑страницы был встроен специализированный инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком выступает молодой фрилансер из Москвы.
Изначально «Дефишер» ориентировался на киберпреступников, однако примерно год назад его стали активно использовать в операциях хакеры, которые, по оценке экспертов по информационной безопасности, аффилированы с государственными структурами России.
Специалисты по ИБ полагают, что за кампанией может стоять группировка UNC5792, ранее обвинявшаяся в проведении схожих фишинговых операций в других странах.
Около года назад аналитики Google публиковали отчет, в котором указывалось, что UNC5792 рассылала фишинговые ссылки и коды входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам.
