Russische staatliche Hacker sind in eine groß angelegte Kampagne verwickelt, die darauf abzielt, Signal- und WhatsApp-Konten von Regierungsbeamten und Militärangehörigen weltweit zu infiltrieren. Das niederländische Militärgeheimdienst (MIVD) und die Inlandsgeheimdienstagentur (AIVD) warnen vor dieser Operation in einer öffentlichen Sicherheitsmitteilung.
Die Angriffe richten sich gegen hochrangige Vertreter, Zivilbeamte und Angehörige der Streitkräfte. Nach Angaben der Behörden wurden bereits niederländische Regierungsangestellte Ziel dieser Kampagne. Auch Journalisten und weitere Personen von Interesse für die russische Regierung könnten betroffen sein.
Die Warnung folgt auf eine Serie von russischen Spionagekampagnen, die westliche Geheimdienste gegen NATO-Staaten, Forscher und Rüstungskonzerne aufgedeckt haben.
Die Behörden betonen ausdrücklich, dass die Angriffe auf individuelle Benutzerkonten abzielen und nicht auf Sicherheitslücken in den Messaging-Plattformen selbst hindeuten. Beide Dienste nutzen das Signal-Protokoll, ein End-to-End-Verschlüsselungssystem, das als eines der stärksten zum Schutz von Nachrichteninhalten gilt. Ist ein Angreifer jedoch im Besitz eines Geräts oder Kontos, kann er die Nachrichten lesen.
“Signal und WhatsApp als Ganzes sind nicht kompromittiert worden”, erklärt AIVD-Generalinspektorin Simone Smit in einer Stellungnahme. “Es werden einzelne Nutzerkonten ins Visier genommen.”
Die Kampagne exploitiert keine technischen Schwachstellen, sondern missbraucht legitime Sicherheitsfunktionen und setzt auf Social Engineering. Die Angreifer geben sich als Kundenservice-Mitarbeiter aus und versuchen, Opfer zur Preisgabe von Verifizierungscodes oder PIN-Nummern zu bewegen.
Die typische Vorgehensweise: Angreifer starten den normalen Registrierungsprozess mit der Telefonnummer des Ziels. Signal und WhatsApp senden automatisch einen Verifizierungscode an jede während der Registrierung eingegebene Nummer. Anschließend geben sich die Attackierer als Support-Personal aus und behaupten, das Opfer müsse den Code teilen, um das Konto zu sichern. Erhält der Angreifer den Code, kann er ihn auf seinem eigenen Gerät eingeben und das Konto übernehmen – inklusive Lesezugriff auf Nachrichten und Möglichkeit, Nachrichten im Namen des Opfers zu versenden.
Eine weitere Methode besteht darin, Nutzer zu überreden, bösartige QR-Codes zu scannen oder Links anzuklicken, die über die “verknüpfte Geräte”-Funktion ein Hacker-Gerät mit dem Opferkonto verbinden und so Zugriff auf Chats und Nachrichtenverlauf ermöglichen.
Diese Kampagne baut auf früheren russischen Cyber-Operationen auf, die bereits gegen Messaging-Plattformen von Behördenvertretern, Journalisten und Militärangehörigen gerichtet waren. Forscher von Google warnten bereits im Vorjahr, dass Signals weit verbreitete Nutzung unter ukrainischen Soldaten, Politikern und Journalisten es zu häufigem Ziel russischer Spionageoperationen gemacht hat. In einem Fall verlinkten russische Militär-Hacker Signal-Konten von erbeuteten Schlachtfeld-Geräten mit ihren eigenen Systemen.
Die niederländischen Behörden empfehlen Nutzern, niemals Verifizierungscodes zu teilen, unbekannte QR-Codes zu vermeiden und Nachrichten, die angeblich von Signal-Support stammen, zu ignorieren.