Массовый взлом аккаунтов в Signal
Иностранные политики, государственные чиновники и журналисты в разных странах стали жертвами серии атак на аккаунты в Signal. Журналисты‑расследователи обнаружили цифровые следы, указывающие на то, что за кампанией могут стоять спонсируемые государством российские хакеры.
Как работала схема
Пользователи получали сообщения от профиля под именем Signal Support. В этих сообщениях утверждалось, что их учётная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали контроль над аккаунтом, могли просматривать контакты и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, замаскированные под приглашения в канал WhatsApp, которые на самом деле вели на фишинговые сайты.
Кого затронула атака
Среди пострадавших оказался бывший вице‑президент Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту сообщил англо‑американский финансист и критик российской власти Билл Браудер.
О попытках получить доступ к аккаунтам высокопоставленных лиц и военнослужащих в Signal и WhatsApp также заявила разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако прямых доказательств не привели. Похожее предупреждение опубликовало и американское ФБР.
Реакция Signal
Представители Signal сообщили, что осведомлены о происходящем и относятся к ситуации крайне серьёзно. При этом в компании подчеркнули, что речь не идёт об уязвимости шифрования: атака основана на социальной инженерии и обмане пользователей.
Инфраструктура и инструменты атаки
Расследователям удалось установить, что фишинговые сайты, на которые перенаправляли жертв, были размещены на серверах хостинг‑провайдера Aeza. Эта площадка ранее уже фигурировала в историях о пророссийских пропагандистских и преступных кампаниях, связанных с государственными структурами. Сам провайдер и его основатель находятся под санкциями США и Великобритании.
Во фишинговые веб‑страницы был встроен инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком выступал молодой фрилансер из Москвы. Изначально инструмент создавался для киберпреступников, однако примерно год назад его начали активно использовать хакерские группы, которые связывают с государственными структурами, отмечают эксперты по информационной безопасности.
Подозрения в адрес группы UNC5792
Специалисты по кибербезопасности полагают, что за этой кампанией может стоять хакерская группировка UNC5792, которую ранее уже обвиняли в аналогичных фишинговых операциях в других странах.
Около года назад аналитики Google публиковали отчёт, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам.
