Крупная фишинговая кампания нацелена на взлом аккаунтов в мессенджере Signal у политиков, правительственных чиновников и журналистов по всему миру. Цифровые улики, опубликованные зарубежными расследовательскими медиа и спецслужбами ряда стран, указывают на возможную причастность спонсируемых государством российских хакеров.
Жертвам рассылались сообщения от профиля с именем Signal Support, в которых утверждалось, что их учётная запись якобы под угрозой. Адресатов просили ввести PIN‑код, отправленный приложением. После этого злоумышленники получали доступ к аккаунту, контактам и входящей переписке.
Помимо этого, пользователям приходили ссылки, замаскированные под приглашения в канал WhatsApp, но фактически ведущие на фишинговые сайты.
Кого уже атаковали
Среди пострадавших фигурирует бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. О потере своего аккаунта также сообщил англо‑американский финансист и критик Кремля Билл Браудер.
Разведывательная служба Нидерландов сообщила о попытках завладеть аккаунтами высокопоставленных лиц и военнослужащих в Signal и WhatsApp, связав эту кампанию с российскими спецслужбами, однако без публикации технических доказательств. Похожее предупреждение, адресованное пользователям коммерческих мессенджеров, распространило и ФБР США.
Что говорят в Signal
Представители Signal заявили, что осведомлены о проблеме и рассматривают её как приоритетную. При этом подчёркивается, что речь идёт не об уязвимости шифрования или протокола, а о социальной инженерии и обмане пользователей.
Инфраструктура атак и инструмент «Дефишер»
Расследователи установили, что фишинговые сайты размещались на серверах хостинг‑провайдера Aeza. Ранее его инфраструктура уже фигурировала в пропагандистских и криминальных онлайн‑операциях, которые западные власти связывали с российскими государственными структурами. Сам провайдер и его основатель в настоящее время находятся под санкциями США и Великобритании.
В веб‑страницы, использовавшиеся в кампании, был встроен фишинговый инструмент «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным расследователей, автором инструмента является молодой фрилансер из Москвы. Изначально продукт позиционировался как средство для киберпреступников, однако около года назад его, по оценке экспертов по информационной безопасности, начали активно внедрять в свои операции и группы, которые западные спецслужбы относят к числу спонсируемых государством.
Подозреваемая группировка
Специалисты по ИБ считают, что за нынешней кампанией может стоять хакерская группировка UNC5792. Эту структуру уже обвиняли в проведении аналогичных фишинговых операций в разных странах.
Год назад аналитики Google публиковали отчёт, в котором утверждалось, что UNC5792 рассылает фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
