Политики, чиновники и журналисты по всему миру подверглись взлому аккаунтов в Signal
За кампанией могут стоять российские хакеры, связанные с государством
Иностранные политики, правительственные чиновники и журналисты по всему миру стали жертвами кампании по взлому аккаунтов в Signal. Немецкое издание Correctiv обнаружило признаки того, что за этим стоят спонсируемые государством российские хакеры.
Пользователи получали сообщения от профиля с ником Signal Support, в которых утверждалось, что их учетная запись находится под угрозой, и нужно ввести PIN-код, отправленный приложением. Это позволяло злоумышленникам захватить учетную запись, просмотреть контакты и прочитать входящие сообщения.
Помимо этого, хакеры присылали жертвам ссылки, которые выглядели как приглашение в канал WhatsApp, но вели на фишинговые сайты.
Среди жертв кампании оказался бывший вице-президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Помимо него, свой аккаунт потерял англо-американский критик Кремля Билл Браудер.
О попытках завладеть страницами высокопоставленных лиц и военнослужащих в Signal и WhatsApp также сообщили в разведывательной службе Нидерландов. Там связали кам�панию с российскими спецслужбами, однако не привели никаких доказательств. Аналогичное заявление выпустило американское ФБР.
В Signal заявили, что осведомлены о проблеме и относятся к ней очень серьезно, однако подчеркнули, что проблема заключается не в уязвимости шифрования.
Correctiv удалось выяснить, что сайты, на которые вели ссылки, размещались на серверах хостинг-провайдера Aeza. Он и раньше использовался для проведения российских пропагандистских и преступных кампаний, которые спонсировало государство. Aeza и ее основатель находятся под санкциями США и Великобритании.
В эти веб-сайты был встроен фишинговый инструмент «Дефишер». Он рекламировался на российских хакерских форумах еще в 2024 году по цене в $690. Correctiv пишет, что поставщик — молодой фрилансер из Москвы. Изначально инструмент разрабатывался для киберпреступников, однако около года назад спонсируемые государством российские хакеры начали интегрировать «Дефишер» в свою деятельность, пишет Correctiv со ссылкой на экспертов в области информационной безопасности.
За кампанией может стоять хакерская группировка UNC5792, которую обвиняли в организации аналогичных фишинговых кампаний в других странах, уверены эксперты по IT-безопасности.
В частности, год назад аналитики Google выпускали расследование, в котором говорилось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим.