Russische staatshackers proberen toegang te krijgen tot grote aantallen Signal- en WhatsApp-accounts van hoge functionarissen, militairen en ambtenaren wereldwijd, aldus de Nederlandse inlichtingendiensten.
De AIVD en de militaire inlichtingendienst MIVD zeggen dat ook Nederlandse overheidsmedewerkers het doelwit zijn en in sommige gevallen zijn gecompromitteerd als onderdeel van de campagne. Andere mensen die van belang zijn voor de Russische autoriteiten, waaronder journalisten, kunnen ook doelwit zijn.
De hackers proberen gebruikers te misleiden zodat ze verificatie- en pincodes vrijgeven waarmee ze de controle over accounts kunnen overnemen. Een veel voorkomende tactiek is om je voor te doen als een Signal-ondersteuningchatbot om de codes te verkrijgen.
Ook maken de hackers gebruik van de ‘linked devices’-functie in Signal en WhatsApp, waarmee extra apparaten aan een account kunnen worden gekoppeld. Slachtoffers realiseren zich mogelijk niet dat hun berichten dan op afstand kunnen worden gelezen.
Zodra een account is gehackt, kunnen hackers inkomende berichten lezen en toegang krijgen tot gesprekken in groepschats. De inlichtingendiensten zeggen dat de campagne de aanvallers waarschijnlijk al toegang heeft gegeven tot gevoelige informatie.
Vooral Signal lijkt een belangrijk doelwit te zijn vanwege zijn reputatie als veilig communicatieplatform. De app wordt veel gebruikt binnen overheden omdat deze end-to-end gecodeerde berichten biedt die zijn ontworpen om communicatie te beschermen.
Niettemin benadrukken de diensten van de AIVD en de MIVD dat versleutelde berichtenapps niet geschikt zijn voor vertrouwelijke overheidsinformatie. “Chatapplicaties als Signal en WhatsApp zijn, ook al beschikken ze over end-to-end encryptie, geen kanalen voor geheime, vertrouwelijke of gevoelige informatie”, zegt MIVD-directeur vice-admiraal Peter Reesink.
Volgens de inlichtingendiensten berust de campagne op het manipuleren van individuele gebruikers. “Het is niet zo dat Signal of WhatsApp als geheel zijn gecompromitteerd. De dreiging betreft de accounts van individuele gebruikers”, zegt AIVD-directeur-generaal Simone Smit.
De AIVD en de MIVD hebben een cyberadvies uitgebracht over de aanvallen en uitgelegd hoe gebruikers mogelijke compromissen kunnen herkennen. Eén teken is het verschijnen van dubbele accounts in chatgroepen met enigszins verschillende namen, wat erop kan wijzen dat een gehackt account is vervangen door een nieuw account.
Gebruikers wordt ook geadviseerd om te letten op onbekende groepsleden of accounts waarvan de weergavenaam plotseling verandert, bijvoorbeeld in ‘Verwijderd account’, die hackers soms gebruiken om argwaan te voorkomen.
