По всему миру фиксируется масштабная кампания по взлому аккаунтов в мессенджере Signal, жертвами которой стали иностранные политики, высокопоставленные чиновники, военные и журналисты. Цифровые улики, собранные расследователями и специалистами по кибербезопасности, указывают на участие российских хакеров, которых связывают с государственными структурами.
Как действует схема взлома Signal
Пользователи получали сообщения от профиля под именем Signal Support. В этих сообщениях утверждалось, что их учётная запись находится под угрозой, и чтобы сохранить доступ, необходимо ввести PIN‑код, якобы отправленный приложением.
После того как жертва вводила код, злоумышленники перехватывали учётную запись, получали доступ к контактам и могли читать входящие сообщения.
Дополнительно хакеры рассылали ссылки, которые выглядели как приглашения в канал WhatsApp, но на деле вели на фишинговые сайты.
Известные пострадавшие и реакция спецслужб
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту сообщал англо‑американский инвестор и критик Кремля Билл Браудер.
Разведывательная служба Нидерландов заявила о попытках завладеть страницами высокопоставленных лиц и военнослужащих в Signal и WhatsApp и связала кампанию с российскими спецслужбами, не приводя при этом конкретных доказательств. Аналогичное предупреждение выпустило и американское ФБР.
Позиция разработчиков Signal
Представители мессенджера Signal сообщили, что осведомлены о происходящем и относятся к ситуации максимально серьёзно. При этом они подчеркнули, что речь идёт не об уязвимости шифрования, а о социальной инженерии и фишинге.
Инфраструктура атаки и инструмент «Дефишер»
Расследователям удалось установить, что фишинговые сайты, на которые вели вредоносные ссылки, размещались на серверах хостинг‑провайдера Aeza. Эта компания уже ранее фигурировала в связи с пропагандистскими и криминальными кампаниями, которые, по данным западных властей, поддерживались государственными структурами России.
Сам хостинг‑провайдер и его основатель находятся под санкциями США и Великобритании.
Во фишинговые сайты был встроен специальный инструмент под названием «Дефишер». Его реклама появилась на российских хакерских форумах ещё в 2024 году, стоимость программы составляла около 690 долларов. По данным расследователей, поставщиком инструмента является молодой фрилансер из Москвы.
Изначально «Дефишер» создавался для киберпреступников, однако примерно год назад его начали использовать и спонсируемые государством российские хакерские группы, утверждают эксперты по информационной безопасности.
Подозрения на группировку UNC5792
Эксперты по кибербезопасности полагают, что за текущей кампанией может стоять хакерская группировка UNC5792, которая уже обвинялась в проведении аналогичных фишинговых атак в других странах.
Около года назад аналитики Google публиковали расследование, в котором говорилось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
