Иностранные политики, государственные чиновники и журналисты в разных странах подверглись скоординированной кампании по захвату аккаунтов в мессенджере Signal. Журналисты‑расследователи и специалисты по кибербезопасности указывают на признаки причастности к атаке российских хакеров, действующих в интересах государства.
Как работала схема взлома Signal
Пользователи получали сообщения от профиля с именем Signal Support. В этих сообщениях утверждалось, что их учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. Передача кода позволяла злоумышленникам перехватывать учетную запись, просматривать список контактов и читать входящие сообщения.
Кроме того, жертвам рассылались ссылки, замаскированные под приглашения в канал WhatsApp. На деле они вели на фишинговые сайты, созданные для кражи данных.
Кого задела атака
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также доступ к своему аккаунту потерял англо‑американский инвестор и критик российских властей Билл Браудер.
О попытках получить контроль над аккаунтами высокопоставленных лиц и военных в Signal и WhatsApp ранее сообщала разведывательная служба Нидерландов, связав кампанию с российскими спецслужбами, однако без публикации технических доказательств. Похожее предупреждение выпускало и ФБР США.
Реакция Signal
Представители Signal заявили, что в курсе происходящего и относятся к атаке максимально серьезно. При этом они подчеркнули, что проблема не связана с уязвимостью системы шифрования мессенджера, а основана на социальной инженерии и обмане пользователей.
Инфраструктура и инструмент «Дефишер»
Расследователям удалось установить, что сайты, на которые вели фишинговые ссылки, были размещены на серверах хостинг‑провайдера Aeza. Эта компания уже ранее фигурировала в связи с пропагандистскими и криминальными кампаниями, которые, по данным экспертов, поддерживались российскими государственными структурами. Сам провайдер и его основатель находятся под санкциями США и Великобритании.
Во фишинговые сайты был встроен специализированный инструмент под названием «Дефишер». Его с 2024 года рекламировали на российских хакерских форумах по цене около 690 долларов. По данным расследователей, разработчиком инструмента является молодой фрилансер из Москвы. Первоначально «Дефишер» предназначался для киберпреступников, однако примерно год назад его начали использовать и хакерские группы, которых эксперты связывают с государственными структурами России.
Подозрения в адрес группировки UNC5792
IT‑специалисты полагают, что за нынешней кампанией может стоять хакерская группировка UNC5792, ранее обвинявшаяся в проведении аналогичных фишинговых операций в разных странах.
Год назад аналитики Google публиковали отчет, в котором говорилось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
