По всему миру зафиксирована масштабная фишинговая кампания против пользователей мессенджера Signal, среди которых — иностранные политики, высокопоставленные чиновники и журналисты. Цифровые улики, собранные специалистами по кибербезопасности и рядом зарубежных медиа, указывают на возможное участие хакеров, связанных с российскими государственными структурами.
Иллюстрация, созданная с использованием нейросетей
Как работает атака на аккаунты в Signal
По данным расследователей, жертвы получали сообщения от профиля с ником Signal Support. В этих сообщениях утверждалось, что их учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, присланный самим приложением.
Если пользователь передавал PIN в ответ, злоумышленники получали возможность перехватить учетную запись, просматривать список контактов и читать входящие сообщения.
Дополнительно хакеры рассылали ссылки, оформленные как приглашения в канал WhatsApp, которые на самом деле перенаправляли на фишинговые сайты.
Кого задела кампания
Среди пострадавших оказался бывший вице‑президент Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Также о потере своего аккаунта сообщал англо‑американский финансист и критик российских властей Билл Браудер.
О попытках захвата аккаунтов высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее предупреждала и служба разведки Нидерландов. Там заявили, что видят за этой кампанией российские спецслужбы, однако подробных технических доказательств не привели. Похожее предупреждение публиковало и ФБР США.
Реакция Signal и технические детали
Команда разработчиков Signal заявила, что в курсе фишинговых атак и относится к инциденту крайне серьезно, подчеркнув при этом, что речь не идет о взломе или уязвимости системы шифрования мессенджера. Атака построена на социальной инженерии и обмане пользователей.
Хостинг, инструменты и предполагаемые исполнители
Исследователям удалось установить, что фишинговые сайты, на которые вели рассылки, были размещены на серверах хостинг‑провайдера Aeza. Этот провайдер уже ранее фигурировал в расследованиях как инфраструктура, использовавшаяся для проведения пропагандистских и преступных операций, приписываемых российским государственным структурам. Компания Aeza и ее основатель находятся под санкциями США и Великобритании.
Во вредоносные веб‑сайты был встроен специализированный фишинговый инструмент под названием «Дефишер». По данным специалистов, он рекламировался на российских хакерских форумах еще в 2024 году по цене около 690 долларов. Предполагается, что его разработал молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, но примерно год назад его начали активно использовать хакерские группы, которые эксперты связывают с российскими государственными структурами.
Киберспециалисты полагают, что за нынешней кампанией может стоять группировка UNC5792, которую ранее обвиняли в аналогичных фишинговых операциях в других странах.
Связь с атаками против украинских военных
Ранее аналитики Google публиковали расследование, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды подтверждения для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
