AIVD en MIVD: Russische staatshackers kapen Signal- en WhatsApp-accounts van ambtenaren en militairen

De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) sloegen op 9 maart 2026 alarm over een actieve Russische cybercampagne die gericht is op de Signal- en WhatsApp-accounts van overheidsmedewerkers, militairen en andere personen van interesse voor de Russische inlichtingendiensten. De campagne is wereldwijd van omvang, maar de diensten bevestigen uitdrukkelijk dat ook Nederlandse ambtenaren en militairen doelwit zijn - en dat een deel van hen al slachtoffer is geworden.

Hoe werkt de aanval?

De hackers maken geen gebruik van technische kwetsbaarheden in Signal of WhatsApp zelf. In plaats daarvan misbruiken ze legitieme beveiligingsfuncties van de applicaties - een aanpak die opvallend lastig te detecteren is. De meest waargenomen aanvalsmethode is impersonatie van de klantenservice van Signal. Via neppe ondersteuningsgesprekken worden doelwitten verleid om hun verificatiecode of PIN-code te delen, waarna de aanvaller toegang krijgt tot het account en alle lopende en recente chatgesprekken.

Naast accountovername via verificatiecodes bestaat er een tweede methode: de aanvallers kunnen zichzelf via een speciaal genereerde koppellink toevoegen aan chatgroepen waar het doelwit lid van is. Dat stelt hen in staat mee te lezen zonder dat de eigenaar van het account de inbreuk direct opmerkt. Er worden geen alarmbellen geactiveerd door technische blokkades of beveiligingswaarschuwingen vanuit de app zelf, waardoor de aanvaller soms dagenlang onopgemerkt kan meekijken.

Wie zijn de doelwitten?

De AIVD en MIVD richten hun waarschuwing in de eerste plaats op overheidsmedewerkers en militairen die via Signal of WhatsApp communiceren over werkgerelateerde onderwerpen. Dat omvat medewerkers van ministeries, defensiepersoneel, medewerkers van veiligheids- en inlichtingendiensten en mensen werkzaam in de directe omgeving van het kabinet. De diensten sluiten niet uit dat ook journalisten, wetenschappers en andere personen van interesse voor de Russische overheid doelwit zijn in dezelfde campagne.

Opvallend is dat de aanvallers niet blind te werk gaan. De selectie van doelwitten wijst op een combinatie van technische middelen en traditioneel inlichtingenwerk, waarbij openbare bronnen en eerder gelekte gegevens worden gebruikt om potentiele slachtoffers te identificeren en vervolgens gericht te benaderen. Dat maakt de campagne niet alleen groter van schaal maar ook strategisch relevanter.

Gevolgen: gevoelige informatie buitgemaakt

De diensten stellen dat de Russische hackers via deze campagne waarschijnlijk toegang hebben verkregen tot gevoelige informatie. Hoe groot de schade precies is, wordt niet gespecificeerd, wat onder operationele geheimhouding valt. Wat duidelijk is, is dat het om een serieuze inbreuk gaat op de veiligheid van overheidscommunicatie. De MIVD was hierover ondubbelzinnig: WhatsApp en Signal zijn niet geschikt voor de uitwisseling van gevoelige informatie.

Beide apps zijn weliswaar vercijferd via het end-to-end principe, maar het systeem van apparaatgekoppelde verificatie maakt ze kwetsbaar voor social engineering. Wie geen gebruik maakt van hardwaregebaseerde beveiligingstokens of gecertificeerde overheidscommunicatiemiddelen, is afhankelijk van het eigen gedrag van de gebruiker als verdedigingslinie - en dat is precies de plek waar de Russische aanval op inspeelt.

Bescherming: wat kunt u doen?

De AIVD publiceerde gelijktijdig een praktisch cyberadvies. Het meest essentieel is het activeren van tweestapsverificatie via een eigen PIN-code in zowel Signal als WhatsApp. Als een aanvaller beschikt over de verificatiecode uit een SMS, wordt hij alsnog geblokkeerd door de extra toegangsbarriere van die PIN. Verder raden de diensten aan kritisch te zijn op onverwachte berichten die vragen om codes te delen, ook als die afkomstig lijken van een helpdesk of bekende contactpersoon.

Voor gevoelige werkgerelateerde communicatie adviseert de MIVD uitdrukkelijk over te schakelen naar gecertificeerde en voor de overheid goedgekeurde communicatieplatforms. Signal en WhatsApp zijn uitstekende keuzes voor privecommunicatie, maar voldoen niet aan de vereisten voor geheime of vertrouwelijke overheidsinformatie. Het gebruik van consumentenapps voor werkoverleg over gevoelige dossiers - iets wat tijdens de coronapandemie in zwang raakte en nooit volledig werd teruggedraaid - is een kwetsbaarheid die Moskou actief uitbuit.

Bredere context: digitale spionage neemt toe

De campagne past in een breder patroon van Russische digitale spionage gericht op NAVO-landen en hun overheden. Eerder werden Nederlandse overheidsnetwerken getroffen door aanvallen die werden toegeschreven aan Russisch staatsgelieerde groepen. De verschuiving naar het aanvallen van berichtenapps is een logisch gevolg van verbeterde netwerkbeveiliging: aanvallers richten zich steeds meer op het zwakste punt in de keten, namelijk het menselijk gedrag. Zolang ambtenaren en militairen gevoelige zaken bespreken via consumentenapps, blijft dat een aantrekkelijk en relatief eenvoudig aanvalsvlak voor buitenlandse inlichtingendiensten.