Russische staatshackers proberen wereldwijd toegang te krijgen tot Signal- en WhatsApp-accounts van onder meer hoogwaardigheidsbekleders, militairen en ambtenaren. Volgens de Nederlandse inlichtingen- en veiligheidsdiensten MIVD en AIVD zijn ook Nederlandse overheidsmedewerkers doelwit geweest van deze campagne, en in sommige gevallen daadwerkelijk slachtoffer geworden.
De diensten sluiten daarnaast niet uit dat ook andere personen die voor de Russische overheid interessant zijn, zoals journalisten, doelwit kunnen zijn.
Pincodes
Om toegang te krijgen tot accounts proberen de aanvallers verificatie- en pincodes van gebruikers te achterhalen. Een veelgebruikte methode is dat zij zich voordoen als een support-chatbot van Signal. Op die manier proberen zij gebruikers ertoe te verleiden hun codes te delen, waarna de aanvallers het account kunnen overnemen. Daarnaast maken de hackers misbruik van de functie in Signal en WhatsApp waarmee apparaten aan een account kunnen worden gekoppeld, de zogenoemde ‘linked devices’. In dat geval kan een account op afstand worden uitgelezen zonder dat de gebruiker dit direct merkt.
Wanneer een account eenmaal is gecompromitteerd, kunnen de aanvallers berichten meelezen die naar het account worden gestuurd. Ook kunnen zij toegang krijgen tot chatgroepen waar het slachtoffer deel van uitmaakt. Volgens de diensten hebben de hackers op deze manier mogelijk gevoelige informatie buitgemaakt.
De grote belangstelling van Russische hackers voor Signal hangt volgens de inlichtingendiensten waarschijnlijk samen met de reputatie van de app. Signal staat bekend als een betrouwbaar en onafhankelijk communicatiemiddel en maakt gebruik van end-to-end encryptie. Daardoor wordt de applicatie veel gebruikt binnen overheden om communicatie te beschermen. Tegelijkertijd maakt dat de app ook aantrekkelijk voor kwaadwillenden die juist op zoek zijn naar gevoelige informatie.
De MIVD benadrukt echter dat chatapps zoals Signal en WhatsApp, ondanks de versleuteling, niet bedoeld zijn voor het delen van gerubriceerde of zeer vertrouwelijke informatie.
Afzonderlijke accounts
Een opvallend aspect van deze campagne is dat er geen technische kwetsbaarheden in de apps zelf worden uitgebuit. In plaats daarvan maken de aanvallers gebruik van bestaande beveiligingsfuncties en proberen zij individuele gebruikers te misleiden. Volgens de AIVD zijn de applicaties als geheel dus niet gecompromitteerd; de dreiging richt zich op afzonderlijke accounts.
Om organisaties en gebruikers weerbaarder te maken, hebben de MIVD en AIVD een cyberadvies gepubliceerd met tips om aanvallen te herkennen en te voorkomen. Zo kunnen Signal-gebruikers controleren of een contact mogelijk is gecompromitteerd, bijvoorbeeld wanneer een persoon twee keer in een groepslijst voorkomt of wanneer onbekende leden plotseling in een chatgroep verschijnen.
Geef een reactie