По всему миру зафиксирована масштабная фишинговая кампания против пользователей мессенджера Signal — в первую очередь иностранных политиков, правительственных чиновников и журналистов. Цифровые улики указывают на возможную причастность поддерживаемых государством российских хакеров.
Как работает атака
Жертвам приходили сообщения от профиля с ником Signal Support. В них утверждалось, что учетная запись якобы находится под угрозой, и для защиты необходимо ввести PIN‑код, отправленный приложением. Если пользователь следовал этим инструкциям, злоумышленники получали контроль над аккаунтом, доступ к контактам и входящим сообщениям.
Дополнительно атакующие рассылали ссылки, оформленные как приглашение в канал WhatsApp, которые на деле вели на фишинговые веб‑сайты.
Кого затронула кампания
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Кроме того, свой аккаунт потерял англо‑американский инвестор и критик российских властей Билл Браудер.
О попытках получить доступ к аккаунтам высокопоставленных лиц и военнослужащих в Signal и WhatsApp также сообщила разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако публичных доказательств не представили. Похожее заявление опубликовало и американское ФБР.
Реакция Signal
Представители Signal заявили, что осведомлены о проблеме и относятся к ней максимально серьезно. При этом компания подчеркнула, что речь идет не о взломе шифрования или уязвимости протокола, а о социальной инженерии и краже учетных данных пользователей.
Инфраструктура и инструмент «Дефишер»
Расследователям удалось установить, что фишинговые сайты размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в кампаниях, связанных с российской пропагандой и киберпреступностью, которые, по данным экспертов, имели государственное финансирование. Компания и ее основатель находятся под санкциями США и Великобритании.
В сами сайты был встроен специализированный фишинговый инструмент «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для использования в киберпреступной среде, но приблизительно год назад его начали активно интегрировать в операции групп, которые специалисты связывают с российскими государственно поддерживаемыми хакерами.
Подозрения в адрес UNC5792
Эксперты в области IT‑безопасности полагают, что за нынешней кампанией может стоять хакерская группировка UNC5792, ранее обвинявшаяся в аналогичных фишинговых операциях в ряде стран.
Год назад аналитики Google публиковали отчет, в котором говорилось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их учетным записям в мессенджерах.
