De Nederlandse inlichtingen- en veiligheidsdiensten waarschuwen voor een grootschalige Russische cybercampagne gericht op accounts van populaire chatdiensten. Volgens de diensten proberen Russische staatshackers wereldwijd toegang te krijgen tot accounts van onder meer hoogwaardigheidsbekleders, militairen en ambtenaren op de berichtendiensten Signal en WhatsApp.

Ook Nederlandse overheidsmedewerkers zijn volgens de diensten doelwit en in sommige gevallen slachtoffer geworden van deze operatie. De campagne richt zich niet alleen op overheidsfunctionarissen. Volgens de Algemene Inlichtingen- en Veiligheidsdienst en de Militaire Inlichtingen- en Veiligheidsdienst is het aannemelijk dat ook andere personen die interessant zijn voor de Russische overheid doelwit kunnen zijn, zoals journalisten of andere professionals met toegang tot gevoelige informatie.

Valse supportchatbox

De aanvalsmethode richt zich vooral op het misleiden van individuele gebruikers. Russische hackers proberen verificatie- en pincodes te ontfutselen door zich voor te doen als een supportchatbot van Signal. Wanneer slachtoffers dergelijke codes delen, kunnen aanvallers het account overnemen en toegang krijgen tot berichtenverkeer. Daarnaast maken de hackers misbruik van de mogelijkheid binnen zowel Signal als WhatsApp om extra apparaten aan een account te koppelen via zogenoemde ‘linked devices’. Hierdoor kunnen berichten op afstand worden uitgelezen zonder dat de gebruiker dit direct merkt.
Wanneer een account succesvol wordt gecompromitteerd, kunnen aanvallers niet alleen privégesprekken meelezen, maar ook berichten in groepschats waar het slachtoffer deel van uitmaakt. Volgens de inlichtingendiensten bestaat de kans dat via deze campagne al gevoelige informatie is buitgemaakt.

Niet voor vertrouwelijke informatie geschikt

De sterke Russische focus op Signal hangt volgens de diensten samen met de reputatie van de app als veilig communicatiemiddel. De dienst staat bekend om zijn end-to-end encryptie en wordt daardoor regelmatig gebruikt binnen overheidsorganisaties. Tegelijkertijd benadrukken de diensten dat dergelijke chatapps niet bedoeld zijn voor het delen van gerubriceerde of zeer vertrouwelijke informatie.
Opvallend aan de campagne is dat er geen kwetsbaarheden in de software zelf worden uitgebuit. In plaats daarvan maken de aanvallers gebruik van bestaande beveiligingsfuncties en menselijke fouten. Daarmee ligt de dreiging volgens de diensten vooral bij individuele accounts en niet bij de chatdiensten als geheel. De AIVD en MIVD hebben inmiddels een cyberadvies gepubliceerd met maatregelen om gebruikers beter weerbaar te maken tegen dit soort aanvallen.