За масштабной фишинговой кампанией по взлому аккаунтов в мессенджерах, по данным экспертов, могут стоять российские хакеры, связанные с государственными структурами.
Иностранные политики, правительственные чиновники и журналисты в разных странах мира стали жертвами кампании по компрометации аккаунтов в Signal. Журналисты международного расследовательского проекта Correctiv обнаружили цифровые следы, указывающие на возможную причастность спонсируемых государством российских хакеров.
Пользователи получали сообщения от профиля с ником Signal Support, в которых утверждалось, что их учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После того как жертва передавала код злоумышленникам, они получали контроль над учетной записью, могли просматривать контакты и читать входящие сообщения.
Помимо этого, жертвам рассылались ссылки, замаскированные под приглашения в канал WhatsApp, которые на самом деле перенаправляли на фишинговые сайты.
Среди пострадавших от кампании оказался бывший вице‑президент немецкой внешней разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Кроме того, о потере своего аккаунта заявил англо‑американский финансист и критик российского руководства Билл Браудер.
О попытках захвата аккаунтов высокопоставленных лиц и военнослужащих в Signal и WhatsApp также сообщила служба разведки Нидерландов. Там связали кампанию с российскими спецслужбами, однако не привели технических доказательств. Аналогичное предупреждение выпустило и ФБР США.
Представители Signal заявили, что осведомлены о нападениях и относятся к ним крайне серьезно, подчеркнув при этом, что речь идет не о взломе системы шифрования, а о социальной инженерии и фишинге.
По данным Correctiv, фишинговые сайты, на которые вели рассылки, были размещены на серверах хостинг‑провайдера Aeza. Этот провайдер ранее фигурировал в расследованиях о российских пропагандистских и криминальных кампаниях, связанных с государственными структурами. На Aeza и ее основателя уже наложены санкции США и Великобритании.
Во вредоносные веб‑страницы был встроен инструмент для фишинга под названием «Дефишер». Он рекламировался на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По сведениям Correctiv, поставщик инструмента — молодой фрилансер из Москвы. Изначально «Дефишер» разрабатывался как сервис для киберпреступников, однако около года назад поддерживаемые государством российские хакеры начали интегрировать его в свои операции, утверждают опрошенные журналистами эксперты по информационной безопасности.
Специалисты по кибербезопасности считают, что за атакой может стоять группа UNC5792, которую ранее обвиняли в организации схожих фишинговых кампаний в других странах.
Около года назад аналитики Google публиковали отчет, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и одноразовые коды входа украинским военнослужащим.
