Про це повідомив проєкт журналістських розслідувань CORRECTIV у вівторок, 24 березня.

За інформацією видання, розслідування виявило цифрові докази, що вказують на участь у цій кампанії Росії, а також на зв’язок з попередніми атаками в Україні та Молдові.

Фішингові атаки, з якими стикнулися німецькі політики, урядовці та журналісти, полягали в тому, що профіль із назвою Signal Support попереджав про нібито загрозу для облікового запису, просив ввести надісланий користувачеві PIN-код — а в результаті зловмисники отримували контроль над цим записом, могли переглядати контакти та читати вхідні повідомлення.

Жертвою атаки став зокрема колишній віце-президент німецької розвідувальної служби BND Арндт Фрайтаг фон Лорінгхофен.

Після захоплення облікового запису посадовця зловмисники надіслали посилання на нібито запрошення до каналу WhatsApp. Сайт розміщувався на серверах російського хостинг-провайдера Aeza. Як повідомляв CORRECTIV, у 2024 році цей провайдер використовувався для проведення державних пропагандистських кампаній.

Проєкт зазначає, шо компанія та її засновники потрапили під санкції США та Великої Британії, але в ЄС до них санкцій ще не застосовували. Це важливо, оскільки аналіз мережі показує, що трафік даних з фішингових сайтів також проходив через німецького партнера Aeza, наголошують розслідувачі.

До того ж, аналогічні атаки, що здійснювалися із серверів Aeza, були зафіксовані у попередні роки в Україні та Молдові.

Також для фішингу використовувався спеціальний інструмент Defisher. Архівні версії кількох досліджених сайтів показують інтерфейс користувача з російською формою введення.

Згідно з повідомленням CORRECTIV, фішинговий інструмент Defisher рекламувався на російських хакерських форумах ще у 2024 році — причому лише за 690 доларів США (трохи менше 600 євро). Подальші цифрові сліди свідчать про те, що продавцем може бути «молода людина, яка проживає в Москві».

За даними IT-фахівців, хакери, пов’язані з російською державою, почали інтегрувати Defisher у свою діяльність близько року тому. CORRECTIV зауважив, що не може самостійно це підтвердити.

20 березня Федеральне бюро розслідувань США повідомило, що пов’язані з російськими спецслужбами хакери здійснили масштабні атаки на користувачів комерційних месенджерів, зокрема Signal і WhatsApp.

9 березня нідерландська розвідувальна служба заявила, що за атаками в популярних месенджерах на чиновників, військових та журналістів з усього світу стоять «російські державні хакери».