По данным международного расследования, за масштабной кампанией по взлому аккаунтов в Signal могут стоять российские хакеры, предположительно связанные с государственными структурами.
Массовый взлом аккаунтов в Signal
Иностранные политики, правительственные чиновники и журналисты в разных странах стали жертвами скоординированной кампании по захвату аккаунтов в мессенджере Signal. Журналисты‑расследователи установили цифровые следы, указывающие на возможное участие хакеров, действующих в интересах российских государственных структур.
Как работала схема хакеров
Пользователи получали сообщения от профиля с именем Signal Support. В тексте утверждалось, что их учётная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали доступ к аккаунту, могли просматривать контакты и читать входящие сообщения.
Помимо этого, жертвам рассылали ссылки, выглядевшие как приглашения в канал WhatsApp. На деле переход по ним вел на фишинговые сайты, предназначенные для кражи данных.
Кого затронула атака
Среди пострадавших от кампании оказался бывший вице‑президент германской внешней разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также сообщил о компрометации своего аккаунта англо‑американский финансист и критик российских властей Билл Браудер.
О попытках завладеть аккаунтами высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее предупреждала и разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, хотя публичных технических доказательств не представили. Похожее предупреждение выпустило и ФБР США.
Реакция Signal
Представители Signal заявили, что знают о происходящем и относятся к инциденту крайне серьёзно. При этом в компании подчеркнули, что проблема не связана с уязвимостью шифрования, а основана на социальной инженерии и обмане пользователей.
Фишинговые сайты и инструмент «Дефишер»
Расследователям удалось установить, что фишинговые сайты, на которые вели рассылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в ряде российских пропагандистских и преступных онлайн‑кампаний, которые, по утверждениям экспертов, спонсировались государством. В настоящий момент и компания, и её основатель находятся под санкциями США и Великобритании.
Во фишинговые веб‑страницы был встроен специальный инструмент под названием «Дефишер». Его предлагали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным расследования, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» предназначался для киберпреступников, но примерно год назад им начали активно пользоваться и хакеры, которых эксперты связывают с государственными структурами России.
Подозрения в адрес группировки UNC5792
По оценке специалистов по информационной безопасности, за текущей кампанией может стоять хакерская группировка UNC5792, ранее уже обвинявшаяся в проведении аналогичных фишинговых атак в других странах.
Примерно год назад аналитики Google публиковали отчёт, в котором указывалось, что UNC5792 рассылала фишинговые ссылки и одноразовые коды входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
