Иностранные политики, высокопоставленные чиновники и журналисты в разных странах стали жертвами масштабной кампании по взлому аккаунтов в мессенджере Signal, а также попыток компрометации страниц в WhatsApp. Цифровые улики, на которые ссылаются расследователи и специалисты по кибербезопасности, указывают на возможную причастность поддерживаемых государством российских хакеров.
Как работала схема взлома Signal
По данным расследователей, пользователям приходили сообщения от профиля с названием Signal Support. В этих сообщениях утверждалось, что учетная запись якобы находится под угрозой, и для ее защиты нужно ввести PIN‑код, отправленный приложением.
Когда жертва вводила код, злоумышленники получали возможность перехватить аккаунт, просматривать список контактов и читать входящие сообщения.
Фишинговые ссылки под видом приглашений в WhatsApp
Кроме того, жертвам рассылались ссылки, которые выглядели как приглашения в канал WhatsApp. На деле они вели на поддельные сайты, созданные для кражи данных и перехвата доступа к учетным записям.
Известные пострадавшие
Среди затронутых кампанией фигур — бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. О потере доступа к своему аккаунту также сообщал англо‑американский финансист и критик российских властей Билл Браудер.
Реакция спецслужб Европы и США
О попытках захвата страниц высокопоставленных лиц и военнослужащих в Signal и WhatsApp информировала и разведывательная служба Нидерландов. Там предположили, что за кампанией стоят российские спецслужбы, но при этом не опубликовали конкретных доказательств.
Похожую оценку ситуации дали в США: Федеральное бюро расследований сообщило о кампании по взлому аккаунтов в коммерческих мессенджерах и также связало ее с российскими структурами.
Позиция Signal
Представители Signal заявили, что им известно о такой активности и что компания относится к происходящему крайне серьезно. При этом в сервисе подчеркнули: проблема не связана с уязвимостью системы шифрования сообщений, а основана на социальном инжиниринге и обмане пользователей.
Инфраструктура и «Дефишер»: на чем держалась кампания
Расследователям удалось установить, что фишинговые сайты размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в контексте пропагандистских и преступных онлайн‑операций, которые приписывали российским структурам, и находится под санкциями США и Великобритании вместе со своим основателем.
В веб‑сайты был встроен специальный фишинговый инструмент под названием «Дефишер». По данным специалистов, его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. Поставщиком решения называют молодого фрилансера из Москвы.
Изначально «Дефишер» создавался как инструмент для обычных киберпреступников, однако примерно год назад его, как утверждают эксперты по информационной безопасности, начали активно использовать и хакеры, которых связывают с государственными структурами.
Подозрения в адрес группы UNC5792
Специалисты по IT‑безопасности полагают, что за кампанией может стоять хакерская группировка UNC5792. Эту структуру уже обвиняли в организации аналогичных фишинговых операций в других странах.
Ранее аналитики Google публиковали отчет, в котором говорилось, что UNC5792 рассылала фишинговые ссылки и коды входа украинским военным, пытаясь получить доступ к их аккаунтам в мессенджерах.
