По данным зарубежных расследовательских проектов, за масштабной кампанией взлома аккаунтов в Signal и WhatsApp могут стоять российские хакеры, связанные с государственными структурами.
Кого атаковали и как работала схема
Под удар попали иностранные политики, правительственные чиновники и журналисты из разных стран. Им приходили сообщения якобы от службы поддержки мессенджера Signal с ником Signal Support. В текстах утверждалось, что аккаунт пользователя находится под угрозой, и для защиты нужно ввести PIN‑код, отправленный приложением. После передачи кода злоумышленники перехватывали учетную запись, получали доступ к контактам и входящим сообщениям.
Помимо этого, жертвам рассылали ссылки, маскируемые под приглашения в каналы WhatsApp, которые фактически перенаправляли на фишинговые сайты.
Известные пострадавшие и реакция спецслужб
Среди пострадавших оказался бывший вице‑президент немецкой внешней разведывательной службы BND Арндт Фрейтаг фон Лоринговен. О потере своего аккаунта также заявлял англо‑американский финансист и критик российских властей Билл Браудер.
О попытках завладеть страницами высокопоставленных лиц и военнослужащих в Signal и WhatsApp сообщала и разведывательная служба Нидерландов, связывая кампанию с российскими спецслужбами, хотя конкретных доказательств опубликовано не было. Аналогичное предупреждение выпускало ФБР США.
Позиция Signal
Представители Signal заявили, что осведомлены о проблеме и относятся к ней максимально серьезно. При этом в компании подчеркнули, что атаки не связаны с уязвимостью системы шифрования в мессенджере.
Технические улики и инфраструктура атаки
Расследователям удалось установить, что сайты, на которые вели фишинговые ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в контексте российских пропагандистских и преступных кампаний, которые, по данным исследователей, финансировались государством. Сам провайдер и его основатель находятся под санкциями США и Великобритании.
На вредоносных ресурсах был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По информации расследователей, автором инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» предназначался для обычных киберпреступников, но около года назад им стали активно пользоваться хакерские группировки, которые связывают с государственными структурами России, утверждают эксперты по информационной безопасности.
Подозрения в адрес группировки UNC5792
Специалисты по IT‑безопасности полагают, что за фишинговой кампанией может стоять группировка UNC5792, ранее обвинявшаяся в проведении аналогичных атак в других странах.
Год назад аналитики Google публиковали доклад, в котором говорилось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
