По всему миру взламывают аккаунты в Signal: эксперты указывают на российский след

Иностранные политики, правительственные чиновники и журналисты в разных странах стали жертвами крупной кампании по взлому аккаунтов в мессенджере Signal. Журналисты‑расследователи и специалисты по кибербезопасности обнаружили цифровые следы, указывающие на возможную причастность российских хакеров, которых считают спонсируемыми государством.

Пользователи получали сообщения от профиля с ником Signal Support, в которых утверждалось, что их учетная запись якобы находится под угрозой, и для защиты необходимо ввести PIN‑код, отправленный приложением. Введенные данные позволяли злоумышленникам перехватывать учетные записи, получать доступ к контактам и читать входящие сообщения.

Кроме того, жертвам рассылали ссылки, внешне похожие на приглашения в канал WhatsApp, но фактически ведущие на фишинговые сайты, созданные для кражи данных.

Среди пострадавших оказались высокопоставленные фигуры. В их число, в частности, вошёл бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. О потере своего аккаунта также публично сообщал англо‑американский инвестор и давний критик российских властей Билл Браудер.

Разведывательная служба Нидерландов информировала о попытках захвата аккаунтов высокопоставленных представителей властей и военнослужащих в Signal и WhatsApp. Там связали кампанию с российскими спецслужбами, однако конкретных доказательств не привели. Похожее заявление опубликовало и Федеральное бюро расследований США.

Команда мессенджера Signal заявила, что знает о происходящем и относится к атакам чрезвычайно серьезно. При этом разработчики подчеркнули, что проблема заключается не в уязвимости системы шифрования, а в успешном использовании социальной инженерии и фишинга против пользователей.

Расследователям удалось установить, что сайты, на которые вели фишинговые ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в связи с различными пропагандистскими и преступными кампаниями, которые связывали с Россией и поддержкой со стороны государства. В настоящее время Aeza и ее основатель находятся под санкциями США и Великобритании.

Внутри этих ресурсов был встроен фишинговый инструмент под названием «Дефишер». Его начали рекламировать на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным расследования, поставщиком инструмента является молодой фрилансер из Москвы. Первоначально «Дефишер» создавался для киберпреступников, однако примерно год назад им, по словам экспертов по информационной безопасности, начали активно пользоваться также хакеры, которых считают спонсируемыми государством.

Эксперты по ИТ‑безопасности полагают, что за этой кампанией может стоять хакерская группировка UNC5792, которую ранее обвиняли в организации схожих фишинговых операций против различных стран.

Около года назад аналитики Google публиковали расследование, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.