Госдепартамент США предлагает вознаграждение в размере $10 миллионов за информацию о двух российских хакерских группировках, UNC5792 и UNC4221, которых обвиняют в проведении масштабной фишинговой кампании против пользователей Signal и WhatsApp, связанных с правительствами стран НАТО, военным руководством и гражданским обществом.
Награда, объявленная в рамках программы Госдепартамента Rewards for Justice 29 июня 2026 года, стала одним из крупнейших публичных вознаграждений за информацию о российских кибероперативниках, атакующих именно аккаунты в защищённых мессенджерах, а не саму технологию шифрования этих приложений.
Кто такие UNC5792 и UNC4221?
Исследователи безопасности связывают UNC5792 с Пограничной службой ФСБ, а UNC4221 - с российской военной разведкой. Обе группировки проводят параллельные фишинговые кампании против аккаунтов Signal и WhatsApp как минимум с 2025 года, согласно обновлённым в этом году рекомендациям ФБР и CISA.
Фишинг ключа резервного копирования, а не взлом Signal
Атакующие не взламывают шифрование Signal или WhatsApp. Вместо этого они выдают себя за официальную службу поддержки и напрямую пишут жертвам, утверждая, что обязательная двухфакторная проверка требует повторного ввода ключа резервного копирования Signal. Жертвы, которые соглашаются, отдают тот самый единственный ключ, который открывает всю историю их переписки и позволяет злоумышленникам незаметно привязать к аккаунту второе устройство.
- Выдача себя за другого: Сообщения выглядят так, будто пришли от службы поддержки Signal или WhatsApp.
- Предлог: Фальшивый обязательный шаг проверки безопасности.
- Добыча: Собственный ключ резервного копирования жертвы, введённый прямо в чат.
- Результат: Полный доступ к истории переписки и незаметное подключение нового устройства.
Журналисты и НКО - в числе прямых целей
Госдепартамент и ФБР описывают круг жертв, который выходит далеко за рамки военнослужащих. Помимо чиновников, дипломатов, военных и представителей разведки США и НАТО, кампания целенаправленно била по журналистам, освещающим Россию и Украину, НКО, поддерживающим Украину, политическим аналитикам и исследователям, специализирующимся на российской безопасности. Для журналистов и активистов, которые выбирают Signal именно потому, что он считается защищённым от слежки, эта кампания - напоминание о том, что самое слабое звено редко находится в самом протоколе.
Тысячи аккаунтов - одна награда
По данным официальных лиц, с помощью этой техники были скомпрометированы тысячи аккаунтов в коммерческих мессенджерах в рамках обеих кампаний. Вознаграждение в $10 миллионов призвано выманить инсайдеров или сообщников, готовых назвать конкретных операторов, стоящих за UNC5792 и UNC4221, - по той же схеме, что Rewards for Justice уже применяла против других хакерских группировок, связанных с государством.
Как себя защитить
- Никогда не сообщайте ключ резервного копирования Signal или PIN двухэтапной проверки WhatsApp никому, включая аккаунты, представляющиеся «поддержкой».
- Регулярно проверяйте привязанные устройства в Signal (Настройки -> Связанные устройства) и WhatsApp (Настройки -> Связанные устройства) и удаляйте всё незнакомое.
- Включите блокировку регистрации или двухэтапную проверку с PIN-кодом, который знаете только вы.
- По умолчанию считайте любые незапрошенные сообщения о «необходимости проверки» фишингом, независимо от того, насколько официально они выглядят.
VPN не остановит именно эту атаку, поскольку фишинг происходит внутри самого приложения-мессенджера, а не на уровне сети - но для журналистов и сотрудников НКО, работающих в России и Украине или освещающих эти страны, использование VPN по-прежнему важно, чтобы скрыть своё местоположение и активность в браузере от тех же государственных структур, которые стоят за этими фишинговыми кампаниями.