O sprawie poinformowały dwie najważniejsze instytucje odpowiedzialne za bezpieczeństwo państwa w Holandii – cywilny wywiad AIVD oraz wojskowa służba MIVD.
Z ich ustaleń wynika, iż działania rosyjskich cybergrup miały zasięg międzynarodowy i wpisują się w szerszą operację wywiadowczą wymierzoną w osoby posiadające dostęp do wrażliwych informacji.
Przejmowanie kont bez łamania zabezpieczeń
Z informacji przekazanych przez wywiad wynika, iż hakerzy prowadzili skoordynowaną kampanię ukierunkowaną na użytkowników komunikatorów Signal i WhatsApp.
Celem byli przede wszystkim przedstawiciele administracji publicznej, armii, dyplomacji oraz mediów.
Co istotne, nie doszło do przełamania zabezpieczeń technicznych aplikacji. Eksperci podkreślają, iż nie wykryto luk w oprogramowaniu. Atak opierał się na manipulacji użytkownikami, czyli tzw. inżynierii społecznej.
Cyberprzestępcy podszywali się pod wsparcie techniczne komunikatora – najczęściej pod fikcyjny chatbot „Signal Support”. Wysyłali wiadomości sugerujące konieczność pilnej weryfikacji konta. W efekcie ofiary przekazywały kody autoryzacyjne lub numery PIN, które służą do zabezpieczenia profilu.
Zdobycie tych danych umożliwiało hakerom przejęcie konta, a w niektórych przypadkach całkowite odcięcie właściciela od dostępu.
Fałszywe kody QR i phishing
Drugą metodą wykorzystywaną w kampanii było nadużycie funkcji łączenia dodatkowych urządzeń z kontem użytkownika.
Ofiary otrzymywały wiadomości z prośbą o zeskanowanie kodu QR – rzekomo w celu potwierdzenia tożsamości lub dołączenia do zamkniętej grupy. W rzeczywistości skanowanie powodowało podpięcie urządzenia kontrolowanego przez hakerów do konta ofiary.
W takiej sytuacji użytkownik przez cały czas mógł korzystać z komunikatora, nie zdając sobie sprawy, iż ktoś równolegle odczytuje jego wiadomości – także te z czatów grupowych.
Specjaliści zwracają uwagę, iż ten mechanizm jest szczególnie niebezpieczny, ponieważ dostęp osób trzecich może przez długi czas pozostać niezauważony.
Na celowniku osoby z dostępem do wrażliwych danych
Holenderskie służby potwierdziły, iż wśród potencjalnych ofiar znaleźli się pracownicy instytucji państwowych oraz osoby związane z bezpieczeństwem kraju. Ataki dotknęły również dziennikarzy, zwłaszcza zajmujących się tematyką polityczną i międzynarodową.
Komunikatory z szyfrowaniem end-to-end, takie jak Signal czy WhatsApp, są powszechnie wykorzystywane do poufnej komunikacji. To właśnie dlatego stały się atrakcyjnym celem operacji wywiadowczych.
Nie wyklucza się, iż za kampanią stoją grupy powiązane z rosyjskim wywiadem wojskowym GRU. W analizach pojawia się również nazwa APT28, znanej jako „Fancy Bear”, która w przeszłości była łączona z operacjami cyberszpiegowskimi wymierzonymi w państwa NATO.
Służby apelują o ostrożność
Po ujawnieniu sprawy służby wydały zalecenia dotyczące bezpieczeństwa cyfrowego. Podkreślono, iż choćby komunikatory oferujące silne szyfrowanie nie powinny być wykorzystywane do przekazywania informacji o charakterze tajnym.
Dyrektor MIVD, wiceadmirał Peter Reesink, zwrócił uwagę na konieczność zachowania szczególnej ostrożności podczas korzystania z narzędzi komunikacji elektronicznej.
Eksperci rekomendują m.in.:
-
regularne sprawdzanie listy urządzeń podłączonych do konta,
-
ignorowanie nieoczekiwanych zaproszeń do grup,
-
nieudostępnianie nikomu kodów weryfikacyjnych ani numerów PIN,
-
korzystanie z funkcji znikających wiadomości.
Analitycy podkreślają, iż kampania ma charakter globalny i nie musi ograniczać się wyłącznie do jednego kraju. Możliwe, iż działania rosyjskich cybergrup obejmują także użytkowników w innych państwach Europy i poza nią.
