Политики и журналисты по всему миру столкнулись с массовым взломом аккаунтов в Signal: следы ведут к российским хакерам

Иностранные политики, высокопоставленные чиновники и журналисты из разных стран стали жертвами скоординированной кампании по взлому аккаунтов в мессенджере Signal. Журналисты‑расследователи обнаружили цифровые следы, указывающие на участие спонсируемых государством российских хакеров.

Пострадавшие пользователи получали сообщения от профиля с ником Signal Support. В них утверждалось, что их учетная запись якобы находится под угрозой, а для защиты нужно ввести PIN‑код, пересланный самим приложением. После ввода кода злоумышленники получали контроль над аккаунтом, могли просматривать контакты и читать входящие сообщения.

Кроме того, жертвам высылались ссылки, замаскированные под приглашения в канал WhatsApp. На самом деле они перенаправляли на фишинговые сайты, предназначенные для кражи данных.

Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также сообщил о потере доступа к своему аккаунту англо‑американский инвестор и известный критик российских властей Билл Браудер.

О попытках завладеть аккаунтами высокопоставленных лиц и военнослужащих в Signal и WhatsApp также заявила разведывательная служба Нидерландов, связав кампанию с российскими спецслужбами, но без предъявления публичных доказательств. Похожие выводы опубликовало и ФБР США.

Представители Signal сообщили, что знают о происходящем и относятся к атаке крайне серьезно. При этом в компании подчеркнули, что речь не идет о взломе или уязвимости шифрования: злоумышленники эксплуатируют человеческий фактор и фишинг, а не протоколы защиты данных.

Журналисты установили, что фишинговые сайты размещались на серверах хостинг‑провайдера Aeza, который ранее уже фигурировал в расследованиях как платформа для российских пропагандистских и криминальных онлайн‑кампаний. Компания и ее основатель находятся под санкциями США и Великобритании.

В эти веб‑сайты был встроен фишинговый инструмент под названием «Дефишер». Реклама этого программного обеспечения появлялась на российских хакерских форумах еще в 2024 году, где его продавали примерно за 690 долларов. По данным расследователей, поставщиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, однако около года назад им начали активно пользоваться хакеры, которых эксперты связывают с государственными структурами.

Эксперты по информационной безопасности полагают, что за нынешней кампанией может стоять хакерская группировка UNC5792, ранее уже обвинявшаяся в похожих фишинговых операциях в разных странах.

Год назад аналитики Google публиковали отчет, согласно которому UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.