За кампанией фишинга в Германии стоит российская компания, которая может быть связана с кибератаками в Молдове и Украине — Correctiv

Журналисты Correctiv выяснили, что фишинговые ссылки, с помощью которых хакеры атаковали немецких официальных лиц и журналистов в мессенджере Signal, ведут на сайты, размещённые на серверах российской хостинговой компании Aeza, внесённой в санкционные списки США и Великобритании.

В эти сайты встроен инструмент, который называется Defisher. Он был разработан российским программистом и ранее активно рекламировался на российских хакерских форумах. Журналисты нашли Defisher на доменах, связанных с 29 IP-адресами, хостинг для которых предоставляет Aeza.

Ранее Центр стратегических коммуникаций и противодействия дезинформации в Молдове сообщал о фишинговых атаках и упоминал некоторые из IP-адресов Aeza, которые Correctiv связал с кампанией фишинга в Германии. Украинская государственная служба по противодействию кибератакам CERT-UA сообщала о случаях фишинга, который осуществлялся по тому же сценарию, что и в Германии.

Об атаках на аккаунты в мессенджере Signal высокопоставленных немецких политиков, действующих сотрудников спецслужб и журналистов стало известно ранее в марте. В частности, злоумышленники получили доступ к аккаунту бывшего вице-президента Федеральной разведывательной службы Германии Арндта Фрайтага фон Лорингхофена. По словам экс-чиновника, с ним связался человек, представившийся сотрудником «службы поддержки» Signal, и попросил ввести его PIN-код. Также для атак используется рассылка в Signal фишинговой ссылки, замаскированной под приглашение присоединиться к каналу в WhatsApp.

О глобальной кампании по взлому Signal и WhatsApp заявляли и спецслужбы Нидерландов. Власти страны пришли к выводу, что к атакам причастны хакеры, действующие по заданию России.