По всему миру взламывают аккаунты в Signal: эксперты указывают на российских хакеров

Политики, высокопоставленные чиновники и журналисты из разных стран мира столкнулись с масштабной кампанией по взлому аккаунтов в мессенджере Signal. Журналисты‑расследователи обнаружили цифровые следы, указывающие на возможную причастность к атаке российских хакеров, действующих при поддержке государства.

Пострадавшие получали сообщения от профиля с именем Signal Support. В этих уведомлениях утверждалось, что их учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, присланный приложением. После того как жертва отправляла код, злоумышленники получали контроль над аккаунтом, могли просматривать список контактов и читать входящие сообщения.

Кроме того, жертвам рассылались ссылки, замаскированные под приглашения в канал WhatsApp. На деле они вели на фишинговые сайты, созданные для кражи данных.

Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. О потере своего аккаунта также сообщил англо‑американский финансист и критик российских властей Билл Браудер.

Разведывательная служба Нидерландов заявила о попытках получить доступ к аккаунтам высокопоставленных чиновников и военных в Signal и WhatsApp, связав эту кампанию с российскими спецслужбами, но не представив технических доказательств. Похожее предупреждение опубликовало и ФБР в США.

Представители мессенджера Signal сообщили, что осведомлены о проблеме и относятся к ней крайне серьезно. При этом компания подчеркнула, что суть атаки заключается не в уязвимости шифрования, а в социальной инженерии и выманивании кодов у самих пользователей.

Расследователи установили, что фишинговые сайты, на которые вели вредоносные ссылки, были размещены на серверах хостинг‑провайдера Aeza. Эта инфраструктура ранее уже использовалась для проведения пропагандистских и преступных онлайн‑кампаний, связанных с Россией. Сам провайдер и его основатель находятся под санкциями США и Великобритании.

В веб‑сайты был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследования, его создателем является молодой фрилансер из Москвы. Первоначально «Дефишер» создавался как инструмент для киберпреступников, однако примерно год назад им стали активно пользоваться и хакеры, которых эксперты относят к спонсируемым государством структурам.

Специалисты по информационной безопасности полагают, что за этой кампанией может стоять хакерская группировка UNC5792, ранее обвинявшаяся в аналогичных фишинговых операциях в других странах.

Около года назад аналитики Google публиковали отчет, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.