$10 миллионов за след ГРУ и ФСБ
05.07.2026 11:10
ФБР и CISA впервые назвали конкретные группировки, стоящие за глобальной фишинговой кампанией против защищённых мессенджеров, и связали их напрямую с ФСБ и военной разведкой России. Госдепартамент США объявил награду до $10 млн за информацию об исполнителях. По данным американских спецслужб, хакеры уже получили доступ к тысячам аккаунтов по всему миру — не взломав шифрование, а обманув самих пользователей.
Экстренное предупреждение
Федеральное бюро расследований и Агентство по кибербезопасности и защите инфраструктуры (CISA) выпустили совместное предупреждение о масштабной шпионской операции, которую США приписывают российским спецслужбам. Первое публичное уведомление появилось 20 марта 2026 года, а 26 июня оно было обновлено новой версией (обозначение I-062626-PSA), в которой ведомства раскрыли принципиально важные детали.
Речь идёт о целенаправленной охоте за аккаунтами в коммерческих мессенджерах — прежде всего в Signal и WhatsApp. Ключевой тезис американских служб: шифрование самих приложений не скомпрометировано. Атакующие не пытаются «пробить» криптографию, а действуют через человека — с помощью социальной инженерии заставляют жертву самостоятельно отдать доступ к своему аккаунту. По оценке ведомств, кампания уже привела к несанкционированному доступу к тысячам учётных записей в разных странах.
UNC5792 и UNC4221
Главная новость июньского обновления — впервые публично прозвучали кодовые обозначения двух группировок: UNC5792 и UNC4221.
По версии американских властей, UNC5792 связана с офицерами пограничной службы ФСБ России, а UNC4221 действует в интересах российской военной разведки. Обе структуры американская сторона относит к российским спецслужбам (Russian Intelligence Services) и рассматривает как государственных, а не «независимых» игроков.
Эти же группы ранее фигурировали в отчётах Google Threat Intelligence Group, которая ещё в начале 2025 года зафиксировала, как UNC5792 злоупотребляет функцией привязки устройств в Signal, атакуя пользователей на Украине. Тогда аналитики предупреждали, что подобная тактика будет распространяться за пределы украинского театра военных действий и на другие регионы — прогноз, который, судя по нынешним предупреждениям, полностью оправдался.
Как устроена атака
Американские следователи выделяют два основных сценария, и оба нацелены на функции приложений, а не на их шифрование.
Первый — злоупотребление функцией привязки устройств (linked devices). Атакующий выдаёт себя за доверенный контакт или службу поддержки и присылает жертве вредоносную ссылку либо QR-код. Если человек переходит по ней, злоумышленник привязывает собственное устройство к чужому аккаунту и получает постоянный доступ к переписке, не блокируя при этом самого пользователя — тот может даже не заметить вторжения. В части случаев, по данным спецслужб, хакеры подменяли легитимные страницы приглашений в группы, перенаправляя жертв на вредоносный адрес, который и привязывал устройство атакующего.
Второй сценарий — полный захват аккаунта. Жертве приходит сообщение, замаскированное под официальное уведомление поддержки, с требованием передать код подтверждения или данные двухфакторной аутентификации. Получив код, злоумышленник забирает аккаунт под свой контроль.
Оказавшись внутри, атакующие получают возможность читать личные и групповые переписки, выгружать списки контактов, выдавать себя за жертву и рассылать от её имени новые фишинговые сообщения. Именно эта «цепная» механика делает кампанию особенно опасной: взлом одного доверенного аккаунта открывает путь к десяткам других, ведь сообщение приходит от человека, которому получатель доверяет.
Новая цель — ключи резервного копирования
Принципиальное отличие июньской волны от прежних — смена главной цели. Если раньше хакерам было достаточно перехватить код подтверждения, чтобы следить за будущей перепиской, то теперь они охотятся за ключами резервного копирования Signal (Backup Recovery Key).
Это 64-значный ключ, который Signal ввёл в сентябре 2025 года вместе с функцией защищённых резервных копий. Система построена по принципу «нулевого разглашения»: ключ генерируется и хранится только на устройстве пользователя и никогда не передаётся на серверы Signal — сам сервис расшифровать архив не может. Обратная сторона такой архитектуры в том, что ключ становится единственной точкой отказа.
Заполучив этот ключ, атакующий получает доступ не к отдельным будущим сообщениям, а ко всему архиву переписки — каждому личному и групповому чату, когда-либо попавшему в резервную копию. Более того, украденный ключ сохраняет силу, даже если жертва сменит телефон или заведёт новый аккаунт на тот же номер. Единственное средство защиты — сгенерировать в настройках новый ключ, что обесценивает старый на будущее, но не отменяет уже полученного злоумышленниками доступа.
Парадоксальным образом мишенью становится сама репутация Signal как «неприступного» мессенджера: пользователи, уверенные в технической защищённости приложения, склонны меньше критически относиться к сообщениям «поддержки» внутри него — именно потому, что приложение кажется безопасным. Атакующие, судя по всему, хорошо понимают эту психологию и бьют по человеку, а не по протоколу.
Чужие «хакеры» и мнимая угроза потери данных
Спецслужбы привели и примеры самих фишинговых сообщений. В одном сценарии атакующие, выдавая себя за автоматическую поддержку Signal, сообщают жертве о якобы вводимой обязательной двухфакторной проверке — как защите от недавних атак хакеров «из Ирана и постсоветских стран». В другом варианте жертву пугают тем, что её данные «под угрозой безвозвратной потери из-за сбоя синхронизации».
Расчёт строится на срочности и доверии: сообщение имитирует официальный тон, воспроизводит фирменную стилистику и подталкивает пользователя к действию, пока он не успел усомниться.
Кто под прицелом
Круг целей, очерченный американскими и союзными службами, прямо указывает на разведывательный характер операции. В него входят действующие и бывшие чиновники правительства США, дипломаты и сотрудники внешнеполитических ведомств, военные и специалисты по национальной безопасности, аналитики и советники, политические фигуры и журналисты.
Отдельно выделены официальные лица и дипломаты стран — членов НАТО, союзные разведывательные и оборонные партнёры, украинские чиновники, а также журналисты-расследователи, освещающие темы России, Украины и международных отношений, и неправительственные организации, помогающие Украине. По оценке американской стороны, речь идёт о людях, представляющих «высокую разведывательную ценность».
Награда в $10 миллионов
Одновременно с обновлённым предупреждением Госдепартамент США через программу Rewards for Justice объявил награду до $10 млн за информацию, которая поможет установить личности или местонахождение участников группировки UNC5792. Это одна из самых крупных выплат, когда-либо предлагавшихся программой, что показывает, насколько серьёзно Вашингтон оценивает угрозу.
Американские власти заинтересованы в максимально широком спектре сведений: имена, местоположение и биографии исполнителей и их окружения, связи с российскими спецслужбами, подрядчиками и сторонними поставщиками услуг, операционная инфраструктура — домены, серверы, хостинг, инструменты и программное обеспечение, а также источники финансирования, банковские связи, криптовалютные кошельки и финансовые сети, обеспечивающие операцию.
Международный контекст
Американское предупреждение стало частью более широкой волны тревоги среди западных спецслужб. Расследование велось совместно со Службой безопасности Украины (СБУ). Ранее о масштабной кампании по захвату аккаунтов Signal и WhatsApp предупреждали нидерландские спецслужбы AIVD и MIVD, а ещё раньше — германские ведомства, о схожей активности сообщали и во Франции. Такая широта внимания союзных разведок отражает, насколько масштабно операция затронула персонал стран НАТО.
Директор ФБР Кэш Пател, комментируя ситуацию, подчёркивал, что уязвимость кроется не в самих приложениях, а в том, как пользователи реагируют на всё более изощрённые фишинговые уловки.
Рекомендации ФБР и CISA сводятся к базовой цифровой гигиене, которая, впрочем, работает. Любые входящие сообщения, якобы отправленные поддержкой Signal, WhatsApp или другого мессенджера, следует считать поддельными: легитимная поддержка Signal не связывается с пользователями внутри приложения и не запрашивает коды, PIN-коды или ключи резервного копирования. Нельзя передавать коды подтверждения и ключи через переписку, не стоит переходить по неожиданным ссылкам и сканировать присланные QR-коды от незнакомых контактов. Стоит регулярно проверять список привязанных к аккаунту устройств и по возможности использовать устойчивую к фишингу многофакторную аутентификацию.
Тем, кто подозревает компрометацию, ведомства советуют сообщить в свою службу безопасности и подать заявление в Центр приёма жалоб на интернет-преступления ФБР (IC3) или местное отделение бюро, сохранив скриншоты, отметки времени и подозрительные сообщения.

