Door Rusland gesteunde hackers hebben een cybercampagne uitgevoerd gericht op accounts op Signal en WhatsApp die worden gebruikt door overheidsfunctionarissen, militairen en journalisten, aldus Nederlandse inlichtingendiensten.
De waarschuwing werd uitgegeven door de Algemene Inlichtingendienst en de Militaire Inlichtingendienst en de Militaire Inlichtingendienst en Veiligheidsdienst, twee inlichtingendiensten in Nederland die verantwoordelijk zijn voor nationale en militaire veiligheid. De instanties zeiden dat aanvallers probeerden toegang te krijgen tot berichtenaccounts via social engineering-technieken die gebruikers ertoe brachten authenticatiegegevens te verstrekken.
Volgens de instanties werden slachtoffers benaderd via chatberichten die door de aanvallers waren geïnitieerd. De berichten vroegen om verificatiecodes of pincodes die werden gebruikt om berichtenaccounts te beveiligen. Als deze codes gedeeld werden, konden de aanvallers toegang krijgen tot persoonlijke accounts en bijbehorende groepsgesprekken.
De diensten zeiden dat de operatie zich richtte op personen in verschillende sectoren, waaronder overheidspersoneel, militairen en journalisten. Nederlandse overheidsmedewerkers behoorden tot degenen die door de campagne werden getroffen.
In een gezamenlijke verklaring zeiden de instanties dat de aanvallers waarschijnlijk gevoelige informatie hadden verkregen via de gecompromitteerde accounts. De verklaring stelde dat versleutelde berichtenplatforms veel worden gebruikt door functionarissen om vertrouwelijke informatie uit te wisselen, waardoor ze een doelwit zijn voor inlichtingenverzameling.
Een methode die in de campagne werd gebruikt, was het imiteren van een supportchatbot op Signal. Aanvallers deden zich voor als technische ondersteuningsmedewerkers en vroegen gebruikers om authenticatiecodes te delen. Zodra de code was verstrekt, konden aanvallers de controle over het account overnemen.
De instanties rapporteerden ook het gebruik van de gekoppelde apparaten van Signal. Deze functie maakt het mogelijk om een berichtenaccount te benaderen vanaf extra apparaten na een koppelingsproces. Door deze functie te benutten, konden aanvallers hun eigen apparaten verbinden met het account van het slachtoffer en berichten ontvangen die naar dat account werden gestuurd.
Functionarissen zeiden dat verschillende aanwijzingen erop kunnen wijzen dat een account is gecompromitteerd. Deze omvatten dubbele contacten die in een contactenlijst verschijnen of telefoonnummers die worden weergegeven als “verwijderd account.”
De Nederlandse regering gaf een interne cyberwaarschuwing uit om functionarissen te informeren over de campagne en om richtlijnen te geven over het aanpakken van mogelijke compromitteringen. De autoriteiten zeiden dat er hulp werd geboden aan overheidsmedewerkers die mogelijk getroffen zijn.
WhatsApp, een berichtendienst van Meta Platforms, zei dat gebruikers hun zescijferige verificatiecodes niet met anderen mogen delen. Het bedrijf zei dat het doorgaat met het ontwikkelen van maatregelen die bedoeld zijn om gebruikers te beschermen tegen online dreigingen.
Signal, een versleutelde berichtenapplicatie beheerd door de Signal Foundation, gaf op het moment van de rapportage geen direct commentaar.
Viceadmiraal Peter Reesink, directeur van de Military Intelligence and Security Service, zei dat berichtenapplicaties met end-to-end encryptie niet gebruikt mogen worden om geclassificeerde of zeer gevoelige informatie te verzenden.