По всему миру взламывают аккаунты в Signal: эксперты подозревают российских хакеров

За масштабной кампанией по взлому аккаунтов в Signal могут стоять российские хакеры, предположительно связанные с государственными структурами.

Мировая фишинговая кампания против пользователей Signal

Иностранные политики, правительственные чиновники и журналисты в разных странах стали жертвами целенаправленной кампании по захвату аккаунтов в мессенджере Signal. Немецкое расследовательское медиа Correctiv обнаружило цифровые признаки, указывающие на участие спонсируемых государством российских хакеров.

Потенциальные жертвы получали сообщения от профиля с ником Signal Support. В уведомлениях утверждалось, что учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, присланный приложением. После того как пользователь передавал код, злоумышленники получали контроль над его аккаунтом, могли просматривать контакты и читать входящие сообщения.

Дополнительно участники кампании рассылали ссылки, стилизованные под приглашение в канал WhatsApp. На деле переход вел на фишинговые ресурсы, созданные для кражи данных.

Высокопоставленные жертвы атаки

Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Кроме того, о потере доступа к своему аккаунту в Signal заявил англо‑американский финансист и известный критик Кремля Билл Браудер, который сообщил об этом в соцсети X.

О попытках завладеть учетными записями высокопоставленных лиц и военнослужащих в Signal и WhatsApp также сообщила разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако прямых доказательств не представили. Похожее предупреждение опубликовало и ФБР США.

Позиция Signal

Разработчики мессенджера Signal заявили, что осведомлены о происходящем и относятся к проблеме крайне серьезно. При этом компания подчеркнула, что речь идет не об уязвимости шифрования, а о социальной инженерии и фишинге, нацеленных на обман пользователей.

Инфраструктура атаки и инструмент «Дефишер»

По данным Correctiv, вредоносные сайты, на которые вели фишинговые ссылки, были размещены на серверах хостинг‑провайдера Aeza. Эта инфраструктура ранее уже связывалась с российскими пропагандистскими и преступными онлайн‑кампаниями, поддерживаемыми государством. Сам провайдер и его основатель находятся под санкциями США и Великобритании.

В веб‑страницы был встроен специализированный фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году, по цене около 690 долларов. По информации Correctiv, поставщик инструмента — молодой фрилансер из Москвы. Изначально «Дефишер» создавался как сервис для киберпреступников, но примерно год назад им начали активно пользоваться и хакерские группы, которые, по оценке экспертов по информационной безопасности, действуют при поддержке российских государственных структур.

Подозрения в адрес группировки UNC5792

Эксперты по кибербезопасности полагают, что за нынешней фишинговой кампанией может стоять группировка UNC5792, ранее уже обвинявшаяся в проведении похожих атак в других странах.

Годом ранее аналитики Google опубликовали отчет, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.