Die Sicherheit von Messenger-Diensten wie Signal und WhatsApp basiert maßgeblich auf ihrer starken Ende-zu-Ende-Verschlüsselung. Das macht sie nun zum Ziel einer „großangelegten weltweiten“ Spionagekampagne, warnen die niederländischen Geheimdienste MIVD und AIVD, die für die Bereiche Militär sowie Inlandsschutz und Spionageabwehr zuständig sind. Russische Staatshacker versuchten derzeit weltweit, Zugriff auf die Konten von hochrangigen Würdenträgern, Militärpersonal und Regierungsbeamten zu erlangen.
Laut dem Hinweis der beiden Spionagebehörden stehen auch Journalisten und andere Personen von strategischem Interesse für den russischen Staat im Fadenkreuz der Operation. Diese mache deutlich, dass die sicherste Verschlüsselung wenig bringe, wenn der Zugang zum Endgerät oder zum Nutzerkonto selbst kompromittiert werde.
Die Angreifer verwenden laut MIVD und AIVD keine technischen Schwachstellen oder Zero-Day-Exploits in der Software der Messenger. Stattdessen setzten sie auf manipulatives Social Engineering, um legitime Funktionen der Apps gegen die Nutzer zu verwenden, heißt es. Eine häufig beobachtete Methode sei die Täuschung über gefälschte Support-Chatbots. Die staatlichen Hacker gäben sich etwa als offizieller Signal-Support aus und versuchten, den Opfern Verifizierungs- oder PIN-Codes zu entlocken. Sobald ein Nutzer solche Informationen preisgibt, können die Angreifer das Konto auf einem eigenen Gerät übernehmen.
Eine weitere Taktik soll der Missbrauch der Funktion für verknüpfte Geräte sein. Dabei koppelten die Angreifer heimlich ein weiteres Gerät mit dem bestehenden Account. Dies ermögliche es ihnen, alle ein- und ausgehenden Nachrichten in Echtzeit mitzulesen, ohne dass das Opfer den Fernzugriff unmittelbar bemerke.
Die Folgen einer erfolgreichen Übernahme können gravierend sein. Die Übeltäter lesen nicht nur private Chats mit, sondern erhalten auch Zugriff auf alle Gruppenunterhaltungen, in denen das Opfer Mitglied ist. In diesen Kanälen vermuten die russischen Akteure sensible Informationen, die aufgrund des hohen Vertrauens in die App-Sicherheit dort oft unvorsichtig geteilt werden. Um der Bedrohung entgegenzuwirken, haben die niederländischen Behörden einen Leitfaden veröffentlicht, der Nutzer für verdächtige Anzeichen sensibilisieren soll.
Prävention und Identifikation verdächtiger Accounts
Die Geheimdienste raten dazu, bei jedem Verdacht auf Unregelmäßigkeiten sofort die zuständigen IT-Sicherheitsstellen zu informieren. Die Identität verdächtiger Konten sollte über alternative Kommunikationswege wie E-Mail oder Telefon verifiziert werden. Erhärte sich ein Verdacht, müssten die betroffenen Accounts umgehend durch den Gruppenadministrator entfernt werden. Falls der Administrator selbst kompromittiert zu sein scheint, bleibt als sicherste Option nur das Verlassen der bestehenden Gruppe und die Eröffnung eines neuen, gesicherten Kommunikationskanals.
Die Spionageaktivitäten finden vor dem Hintergrund einer verschärften Internetzensur in Russland seit Beginn der Ukraine-Invasion statt. Dienste wie WhatsApp und Signal sind in Russland bereits offiziell gesperrt. Zuletzt geriet auch Telegram verstärkt unter Druck. Gegen dessen Gründer Pawel Durow ermitteln russische Behörden im Rahmen eines Strafverfahrens. Sie werfen ihm die Unterstützung terroristischer Aktivitäten vor, da der Messenger angeblich bei zahlreichen Straftaten als Werkzeug genutzt worden sei. Durow selbst hat Russland bereits vor Jahren verlassen, um dem wachsenden Einfluss des Staates auf seine Plattform zu entgehen.
Die gleichzeitige Verfolgung von Plattformbetreibern im Inland und die gezielten Angriffe auf ausländische Nutzerkonten verdeutlichen die Doppelstrategie des Kreml: Er will die Kontrolle über den digitalen Informationsraum sowohl defensiv als auch offensiv sichern.
(nie)
English (US) ·