Про це повідомив проєкт журналістських розслідувань CORRECTIV.
За інформацією видання, розслідування виявило цифрові докази, що вказують на участь у цій кампанії Росії, а також на зв’язок із попередніми атаками в Україні та Молдові.
Фішингові атаки полягали в тому, що профіль із назвою Signal Support попереджав про нібито загрозу для облікового запису та просив ввести надісланий користувачеві PIN-код. У результаті зловмисники отримували контроль над записом, могли переглядати контакти та читати вхідні повідомлення.
Жертвою атаки став, зокрема, колишній віце-президент німецької розвідувальної служби BND Арндт Фрайтаг фон Лорінгхофен. Після захоплення його облікового запису зловмисники надіслали посилання на нібито запрошення до каналу WhatsApp. Сайт був розміщений на серверах російського хостинг-провайдера Aeza. Як повідомляв CORRECTIV, у 2024 році цей провайдер використовувався для проведення державних пропагандистських кампаній.
Проєкт зазначає, що компанія та її засновники потрапили під санкції США та Великої Британії, але в Європейському Союзі санкції до них ще не застосовували. За словами розслідувачів, це важливо, оскільки аналіз мережі показує, що трафік даних із фішингових сайтів також проходив через німецького партнера Aeza.
Крім того, аналогічні атаки, що здійснювалися із серверів Aeza, у попередні роки фіксувалися в Україні та Молдові.
Також для фішингу використовувався спеціальний інструмент Defisher. Архівні версії кількох досліджених сайтів показують інтерфейс користувача з російською формою введення.
Згідно з повідомленням CORRECTIV, фішинговий інструмент Defisher рекламувався на російських хакерських форумах ще у 2024 році — причому лише за 690 доларів США, що становить трохи менше ніж 600 євро. Подальші цифрові сліди свідчать про те, що продавцем може бути «молода людина, яка проживає в Москві».
За даними IT-фахівців, хакери, пов’язані з російською державою, почали інтегрувати Defisher у свою діяльність близько року тому. Водночас CORRECTIV зазначив, що не може самостійно це підтвердити.
20 березня Федеральне бюро розслідувань США повідомило, що пов’язані з російськими спецслужбами хакери здійснили масштабні атаки на користувачів комерційних месенджерів, зокрема Signal і WhatsApp.
9 березня нідерландська розвідувальна служба заявила, що за атаками в популярних месенджерах на чиновників, військових та журналістів з усього світу стоять «російські державні хакери».