Политики и журналисты по всему миру стали жертвами фишинговых атак на аккаунты в Signal

Иностранные политики, государственные чиновники и журналисты в разных странах стали жертвами масштабной кампании по захвату аккаунтов в мессенджере Signal. Цифровые улики, собранные расследователями, указывают на возможную причастность российских хакеров, которых считают аффилированными с государственными структурами.

Жертвам приходили сообщения от профиля с ником Signal Support. В этих уведомлениях утверждалось, что их учётная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После передачи кода злоумышленники получали контроль над аккаунтом, могли просматривать список контактов и читать входящие сообщения.

Помимо этого, атакующие рассылали ссылки, замаскированные под приглашения в канал WhatsApp. На самом деле они перенаправляли пользователей на фишинговые сайты, созданные для кражи данных.

Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Свой аккаунт также утратил англо‑американский финансист и критик российской власти Билл Браудер.

О попытках захватить аккаунты высокопоставленных лиц и военнослужащих в Signal и WhatsApp сообщила и разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако конкретных доказательств не привели. Похожее предупреждение опубликовало и ФБР, заявив о нацеленных атаках на пользователей коммерческих мессенджеров.

Представители Signal заявили, что осведомлены о проблеме и относятся к ней максимально серьёзно. При этом компания подчеркнула, что произошедшее связано не с уязвимостью шифрования мессенджера, а с социальной инженерией и перехватом кода подтверждения.

Исследователи установили, что фишинговые сайты, на которые вели рассылаемые ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер уже ранее фигурировал в расследованиях о кампаниях, связанных с российской пропагандой и киберпреступностью при поддержке государственных структур. И компания, и её основатель находятся под санкциями США и Великобритании.

В вредоносные сайты был встроен специально разработанный фишинговый инструмент под названием «Дефишер». Он рекламировался на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным расследователей, его поставщиком был молодой фрилансер из Москвы. Изначально «Дефишер» позиционировали как инструмент для киберпреступников, однако примерно год назад его, по оценкам экспертов по информационной безопасности, начали использовать и хакеры, которых считают спонсируемыми государством.

Специалисты по IT‑безопасности полагают, что за нынешней кампанией может стоять хакерская группировка UNC5792, ранее обвинявшаяся в организации схожих фишинговых операций в разных странах.

Год назад аналитики Google публиковали отчёт, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.