Kortingsaanbieding voor meerdere licenties
Computerbeveiliging Russische hackers misbruiken Signal's 'Linked...

Russische hackers misbruiken Signal's 'Linked Devices'-functie om versleutelde gesprekken te bespioneren

Tegen Mura in Computerbeveiliging
Vertalen naar:
Nederlands

Cybersecurity-experts slaan alarm nadat ze een sluwe hackcampagne hebben ontdekt van door de Russische staat gesponsorde aanvallers. Hierbij worden Signal Messenger-accounts gekaapt om in realtime privé, gecodeerde gesprekken af te luisteren.

In een onlangs vrijgegeven onderzoek waarschuwen beveiligingsonderzoekers van Mandiant, een divisie van Google, dat meerdere Russische Advanced Persistent Threat (APT)-groepen een krachtige methode hebben ontwikkeld om de functie 'gekoppelde apparaten' van Signal te compromitteren. Dit is een belangrijke mogelijkheid waarmee gebruikers hun beveiligde berichten-app kunnen synchroniseren op meerdere telefoons, tablets of computers.

Dit gemak wordt echter verdraaid tot een gevaarlijk wapen. Door gebruik te maken van gekoppelde apparaten kunnen hackers onzichtbaar toegang krijgen tot de accounts van slachtoffers en hun versleutelde berichten controleren zonder de end-to-end-encryptie van Signal te breken. Zodra er toegang is verkregen, wordt elk bericht rechtstreeks naar de aanvallers gekopieerd, zonder dat het doelwit het ooit weet.

Hoe de aanval werkt: QR-code phishing en apparaatkaping

De methode van de hackers is gebaseerd op bedrog. Slachtoffers worden misleid om kwaadaardige QR-codes te scannen die eruit zien als legitieme uitnodigingen voor Signal-groepen of instructies voor het koppelen van apparaten. Nadat ze zijn gescand, wordt het apparaat van de aanvallers in het geheim toegevoegd aan het Signal-account van het slachtoffer als een 'gekoppeld apparaat'.

Vanaf dat moment worden alle berichten, zowel verzonden als ontvangen, in realtime gespiegeld naar het systeem van de aanvaller. Dit omzeilt de robuuste encryptie van Signal, omdat de aanvallers nu een geautoriseerde deelnemer zijn die de encryptie niet breekt, maar stiekem deelneemt aan het gesprek.

Uit het rapport van Mandiant blijkt het volgende:

  • Russische APT-groepen die banden hebben met het Kremlin, hebben deze methode gebruikt bij phishingaanvallen die gericht waren op militair personeel, politici, journalisten en activisten. Deze personen zijn doorgaans afhankelijk van Signal voor veilige communicatie.
  • Deze phishingpagina's bootsen vaak de officiële interface van Signal na of doen zich voor als vertrouwde apps, zoals Kropyva, het hulpmiddel voor artilleriegeleiding van het Oekraïense leger.
  • In oorlogssituaties zijn Russische troepen betrapt op het gebruik van buitgemaakte apparaten om Signal-accounts te koppelen aan hun servers voor het verzamelen van inlichtingen.

Onzichtbare toegang: waarom deze exploit zo gevaarlijk is

Een van de meest zorgwekkende aspecten van deze aanval is hoe stil het werkt. Signal-gebruikers ontvangen doorgaans geen opvallende waarschuwingen wanneer een nieuw apparaat aan hun account wordt gekoppeld. Hierdoor kunnen hackers langdurig toezicht houden zonder dat ze worden gedetecteerd.

Mandiant beschrijft de techniek als een "low-signature form of initial access", wat betekent dat het weinig sporen achterlaat. Zonder actief hun "Linked Devices"-instellingen te controleren, kunnen slachtoffers maandenlang - of zelfs langer - niet weten dat hun privégesprekken worden uitgezonden naar vijandige actoren.

Breder doelwit: WhatsApp en Telegram lopen ook risico

Hoewel Signal momenteel de focus is, benadrukt Mandiant dat dit type gekoppelde-apparaat-aanval niet uniek is voor Signal. Russische hackers zetten vergelijkbare tactieken in tegen andere veelgebruikte berichten-apps, waaronder WhatsApp en Telegram.

Al deze apps maken synchronisatie tussen meerdere apparaten mogelijk en het proces maakt voor het gemak vaak gebruik van QR-codes, waardoor ze vatbaar zijn voor misbruik via phishing.

Spionage in de echte wereld: militaire en politieke doelen

De aanvallers lijken zich vooral te richten op het verzamelen van inlichtingen van belangrijke personen en groepen, waaronder:

  • Oekraïense militairen
  • Europese politici
  • Onderzoeksjournalisten
  • Mensenrechtenactivisten

Bij een bijzonder geavanceerde operatie maakte de beruchte Russische Sandworm-hackgroep gebruik van deze techniek op het slagveld. Nadat ze de telefoons van vijandelijke soldaten hadden buitgemaakt, koppelden ze de apparaten aan hun infrastructuur, waardoor ze in realtime militaire communicatie konden bespioneren.

Tekenen dat u mogelijk gecompromitteerd bent

Omdat deze aanvalsmethode is ontworpen om stil te zijn, is zelfcontrole cruciaal. Hier zijn enkele stappen om ongeautoriseerde toegang te detecteren en te voorkomen:

  1. Controleer gekoppelde apparaten regelmatig: Open uw Signal-app, ga naar Instellingen → Gekoppelde apparaten en bekijk de lijst zorgvuldig. Als u een onbekend apparaat ziet, ontkoppel het dan onmiddellijk.
  • Schermvergrendeling inschakelen: Gebruik een lang, complex wachtwoord op uw telefoon. Dit maakt het moeilijker voor iemand om een apparaat te koppelen als ze kortstondig fysieke toegang krijgen.
  • Blijf op de hoogte: Installeer altijd de nieuwste versie van Signal en andere berichten-apps. Updates bevatten vaak beveiligingsverbeteringen die het aanvalsoppervlak kunnen verkleinen.
  • Pas op voor QR-codes: Behandel onverwachte QR-codes met argwaan, zelfs als ze afkomstig lijken te zijn van een vertrouwde bron. Verifieer groepsuitnodigingen rechtstreeks bij de afzender voordat u ze scant.
  • Gebruik Multi-Factor Authentication (MFA): Signal zelf ondersteunt geen MFA voor het koppelen van apparaten, maar het inschakelen van tweefactorauthenticatie op de cloudback-ups en accounts van uw smartphone kan een extra verdedigingslaag bieden.

    • Wat signaalgebruikers nu moeten doen

    Het rapport van Mandiant is een ontnuchterende herinnering dat geen enkele app immuun is voor uitbuiting, vooral niet als het gaat om actoren van natiestaten met enorme middelen. De end-to-end-encryptie van Signal blijft robuust, maar deze aanval omzeilt encryptie door menselijk gedrag en het gemak van de synchronisatie van apparaten van de app te exploiteren.

    Als u een gevoelig beroep uitoefent of in een regio woont waar actieve bewakingsdreigingen heersen, moet het regelmatig controleren van uw Signal-beveiligingsinstellingen een gewoonte worden.

    Veiligheidsexperts benadrukken dat waakzaamheid essentieel is:

    • Gebruikers met een hoog risico (militairen, journalisten, activisten) moeten de gelinkte apparaten wekelijks controleren.
    • Scan QR-codes alleen als u absoluut zeker bent van de bron.
    • Meld verdachte berichten of phishingpogingen bij het IT-team van uw organisatie of bij uw cybersecurityprovider.

    Een nieuw tijdperk van stille bewaking

    De exploitatie van Signal's "linked devices"-functie markeert een huiveringwekkende evolutie in door de staat gesteunde cyber-espionage. In tegenstelling tot malware die sporen achterlaat of systemen verstoort, werkt deze methode geruisloos, verdwijnt op de achtergrond terwijl gevoelige gesprekken naar Russische inlichtingendiensten worden doorgeleid.

    Bezig met laden...