AIVD en MIVD: Russische staatshackers kapen WhatsApp- en Signal-accounts van ambtenaren en militairen

De Nederlandse inlichtingendiensten AIVD en MIVD waarschuwen voor een actieve, grootschalige cybercampagne van Russische staatshackers die gericht is op de Signal- en WhatsApp-accounts van hoogwaardigheidsbekleders, militairen en overheidsfunctionarissen. Dat meldden beide diensten op 9 maart. Bevestigd is dat Nederlandse ambtenaren doelwit zijn geweest en dat een deel van hun accounts daadwerkelijk is gecompromitteerd. Uniek aan de aanvalsmethoden is dat er geen technische kwetsbaarheden in de apps worden misbruikt: de hackers weten de beveiligingsfuncties van de communicatiediensten zelf tegen de gebruikers te keren.

Hoe de aanval werkt: de nep-Signal-helpdesk

De meest gebruikte aanvalsmethode is het imiteren van de officiele ondersteuning van Signal. Slachtoffers ontvangen een bericht dat afkomstig lijkt van een Signal-helpdesk en worden gevraagd hun verificatiecode of persoonlijke identificatienummer te delen, bijvoorbeeld met de smoes dat hun account gecheckt of gereset moet worden. Zodra de aanvallers die codes hebben, kunnen zij de volledige controle over het account overnemen.

De tweede methode is subtieler. Signal en WhatsApp bieden de functie "gekoppelde apparaten" waarmee een gebruiker zijn account op meerdere toestellen tegelijk kan gebruiken. Russische hackers misbruiken deze functie: door een slachtoffer te verleiden tot het scannen van een kwaadaardige QR-code, koppelen zij hun eigen apparaat aan het account van het doelwit. Dat apparaat kan vervolgens alle inkomende berichten meelezen, ook in groepsgesprekken, zonder dat het slachtoffer er iets van merkt.

Wie zijn de doelwitten?

De campagne richt zich in de eerste plaats op overheidsfunctionarissen en militairen die Signal of WhatsApp gebruiken voor vertrouwelijke communicatie. Dat is precies de doelgroep die het meest aantrekkelijk is voor een inlichtingendienst: mensen die gevoelige informatie uitwisselen via kanalen die ze als veilig beschouwen. Signal heeft in regeringskringen aan populariteit gewonnen als beveiligd alternatief voor reguliere sms en telefonie.

Naast overheidspersoneel is ook een bredere groep in het vizier: journalisten die over gevoelige onderwerpen schrijven, ngo-medewerkers die in conflictregio's opereren, en Oekrainse contacten van westerse functionarissen. De AIVD en MIVD stellen dat alle personen die voor de Russische overheid van potentieel inlichtingenbelang zijn, als potentieel doelwit moeten worden beschouwd.

Waarom juist Signal en WhatsApp?

Signal wordt als een van de veiligste berichtendiensten ter wereld beschouwd vanwege end-to-end versleuteling en het open-source karakter van de code. Juist die reputatie maakt Signal aantrekkelijk als doelwit: gebruikers vertrouwen de app en letten daardoor minder op verdachte verzoeken. WhatsApp, dat ook end-to-end versleuteld is en wereldwijd meer dan twee miljard gebruikers heeft, is interessant vanwege zijn enorme bereik.

Cruciaal is dat de aanvallen de apps zelf niet hacken. Signal en WhatsApp zijn als systemen niet gecompromitteerd; de encryptie werkt correct. Wat de aanvallers exploiteren is het menselijk gedrag van individuele gebruikers: vertrouwen, haast en gebrek aan bewustzijn over de koppelfunctie. Dit maakt technische tegenmaatregelen alleen onvoldoende: de zwakste schakel is de gebruiker zelf.

Welke schade is al aangericht?

De AIVD en MIVD bevestigen dat Nederlandse overheidsfunctionarissen bevestigde slachtoffers zijn. Welke informatie precies is buitgemaakt, is uit veiligheidsoverwegingen niet openbaar gemaakt. Wel is duidelijk dat gecompromitteerde accounts toegang geven tot alle inkomende berichten en tot de groepsgesprekken waaraan het slachtoffer deelneemt. In een omgeving waar ambtenaren via Signal over lopende beleidsdossiers overleggen, kan dat uiterst waardevolle inlichtingen opleveren voor een buitenlandse inlichtingendienst.

De aanval past in een breder patroon van Russische cyberspionage die de afgelopen jaren is geintensiveerd. Russische inlichtingendiensten zijn de afgelopen jaren verantwoordelijk gesteld voor meerdere grootschalige cyberaanvallen op westerse overheden, bedrijven en kritieke infrastructuur. De campagne tegen Signal en WhatsApp onderscheidt zich door zijn nadruk op menselijk misbruik in plaats van technische exploits - een aanpak die moeilijker te detecteren en te blokkeren is.

Wat kunnen gebruikers doen?

De AIVD en MIVD hebben een Cyber Advisory gepubliceerd met concrete aanbevelingen. Gebruikers wordt aangeraden de lijst gekoppelde apparaten in hun app regelmatig te controleren en apparaten te verwijderen die zij niet herkennen. Verificatiecodes of pincodes mogen nooit worden gedeeld via berichtendiensten, ook niet als het verzoek afkomstig lijkt van een officiele helpdesk. Bij twijfel over de identiteit van een afzender dient verificatie via een alternatief kanaal te volgen, zoals een telefoongesprek of een officieel e-mailadres.

Organisaties die gevoelige informatie verwerken, worden aangeraden hun medewerkers actief te trainen op het herkennen van social-engineeringaanvallen. Technische hulpmiddelen, zoals het registreren van inloggedrag en het automatisch detecteren van nieuwe gekoppelde apparaten, kunnen een extra beveiligingslaag toevoegen. De combinatie van menselijke waakzaamheid en organisatorische protocollen blijft de meest effectieve verdediging tegen dit type aanval.