Russische staatshackers proberen wereldwijd toegang te krijgen tot een groot aantal Signal- en Whatsapp-accounts van hoogwaardigheidsbekleders, militairen en ambtenaren. De Nederlandse inlichtingen- en veiligheidsdiensten MIVD en AIVD bevestigen dat ook Nederlandse overheidsmedewerkers doelwit en slachtoffer zijn van deze campagne. Tevens is het volgens de diensten mogelijk dat ook andere personen voor de Russische overheid, doelwit zijn binnen deze campagne. Denk aan journalisten.
Om toegang te krijgen tot Signal- en/of Whatsapp-accounts, proberen de Russen verificatie- en pincodes van gebruikers te ontfutselen. De meest waargenomen werkwijze van de Russische hackers is dat ze zich voordoen als een Support-chatbot van Signal. Op die manier proberen ze codes van hun doelwitten te bemachtigen. Daarmee kunnen ze het account van de gebruiker overnemen. Daarnaast maken de Russen ook misbruik van de functie binnen Signal en Whatsapp om apparaten te koppelen (zogenoemde “linked devices”). Gebruikers hebben op dat moment vaak niet door dat hun account op afstand is uit te lezen.
Zodra een account succesvol is gecompromitteerd, kunnen de hackers berichten meelezen die naar het account worden gestuurd. Ook is het mogelijk dat ze meelezen in chatgroepen waar het slachtoffer deel van uitmaakt. De Russische hackers hebben met deze campagne waarschijnlijk de beschikking gekregen over gevoelige informatie.
End-to-end encryptie
De inlichtingendiensten denken dat de grote Russische aandacht voor Signal te verklaren is door de goede reputatie van de applicatie. Signal staat bekend als een betrouwbaar en onafhankelijk communicatiemiddel en biedt de optie om end-to-end encrypted berichten te versturen. Daardoor wordt het ook veelvuldig gebruikt binnen overheden, met als doel onderlinge communicatie te beschermen. Het is daarmee ook dé plek waar kwaadwillenden verwachten gevoelige informatie buit te kunnen maken.
”Chat-applicaties zoals Signal en Whatsapp zijn ondanks dat ze beschikken over end-to-end encryptie, geen kanalen voor gerubriceerde, vertrouwelijke of gevoelige informatie’’, benadrukt directeur MIVD viceadmiraal Peter Reesink.
Individuele accounts
Een kenmerkend aspect van deze Russische aanvalscampagne is dat er geen technische kwetsbaarheden van de berichtendiensten worden uitgebuit. In plaats daarvan maken de aanvallers misbruik van legitieme beveiligingsfuncties van de applicaties. ”Het is niet zo dat Signal of Whatsapp als gehele applicatie gecompromitteerd zijn, de dreiging gaat uit naar accounts van individuele gebruikers’’, zegt directeur-generaal AIVD Simone Smit.
Om de weerbaarheid tegen bovenstaande Russische campagne te vergroten, hebben de MIVD en AIVD een Cyberadvies uitgebracht. Hierin staat onder meer hoe je een aanval identificeert en wat ertegen valt te doen. Ook wordt aangegeven hoe Signal-gebruikers zelf kunnen identificeren of een contact mogelijk gecompromitteerd is:
Iedere Signal-gebruiker kan zelf controleren of er mogelijk gecompromitteerde contacten aanwezig zijn in chatgroepen. Ziet u personen in de lijst met groepsleden die er tweemaal in staan, in sommige gevallen met een ietwat afwijkende naam? Dan gaat het mogelijk om zowel het gecompromitteerde account, als het door een slachtoffer nieuw aangemaakte account.
Indien u vermoedt dat dit bij u het geval is, meld dit dan bij de afdeling informatiebeveiliging van uw organisatie. Gezamenlijk kunt u dan proberen te verifiëren bij de eigenaar van het account, bij voorkeur via een ander middel dan Signal of WhatsApp (email/telefonisch), of het klopt dat zijn/haar account tweemaal voorkomt in de chatgroep. Blijkt dit niet te kloppen, probeer dan via de beheerder van de groep beide accounts te laten verwijderen uit de chatgroep, waarna het legitieme account weer toegang kan aanvragen tot de groep.
Wees ook alert op groepsleden die niet door de overige leden worden herkend. De actor wijzigt soms de weergavenaam van het overgenomen account om onopgemerkt te blijven in chatgroepen. Bijvoorbeeld naar namen als 'Deleted account'. Als namen wijzigen, krijgt de groep een melding. In het geval van een legitieme wijziging naar 'Deleted account', krijgt u geen melding.
Door de actor gecontroleerde accounts kunnen bovendien de groep betreden via een buitgemaakte groepslink, hiervan krijgt u altijd een melding. Laat in al deze niet-legitieme gevallen de accounts door de beheerder van de groep verwijderen uit de chatgroep.
Indien het erop lijkt dat de beheerder van de groep zelf mogelijk gecompromitteerd is wordt aangeraden om de groep te verlaten en een nieuwe groep op te zetten.