Согласно расследованию немецкого издания Correctiv, к масштабной фишинговой кампании в мессенджере Signal, жертвами которой стали европейские политики, чиновники и журналисты, причастны российские структуры.
Атаки продолжаются несколько недель: пользователям Signal приходят сообщения от аккаунта под названием Signal Support, утверждающего, что их учетная запись под угрозой. Жертву просят ввести код и PIN-код, которые ей якобы были высланы, после чего злоумышленники получают полный доступ к аккаунту, переписке и списку контактов. Среди известных пострадавших — бывший вице-президент немецкой разведки БНД Арндт Фрайтаг фон Лёринховен. Его аккаунт был захвачен, после чего от его имени контактам разослали ссылку с приглашением в WhatsApp-канал — тоже фишинговую.
Correctiv обнаружил несколько десятков доменов, предположительно, задействованных в кампании, и установил их связь с российским хостинг-провайдером Aeza. Это компания, против которой США и Великобритания ввели санкции за участие в российских пропагандистских кампаниях и криминальной деятельности (под санкциями ЕС пока не находится).
Ключевым инструментом атак оказалась программа Defisher, которую еще в 2024 году рекламировали на российских хакерских форумах, — ее цена составляла $690. Как пишет издание, исходя из цифровых следов, разработчик инструмента, по всей видимости, является молодым москвичом и скорее фрилансером, чем государственным хакером (отвечать на запросы издания он не стал). По данным источников Correctiv в сфере IT-безопасности, хакеры, связанные с российскими государственными структурами, начали использовать Defisher приблизительно год назад. Аналитики Google связывают программу с группой UNC5792, которая также атаковала пользователей в Грузии, Франции и США.
Ранее в отчете Google сообщалось, что российские хакерские группы, в том числе APT44 (Sandworm), связанная с ГРУ, совершили фишинговую атаку на аккаунты в Signal, ориентируясь прежде всего на украинских военных. Signal выпустил обновления для защиты от подобных атак.
