Eine Angriffswelle auf Journalisten und Politiker über die Messengerdienste Signal und WhatsApp geht nach Auffassung niederländischer Geheimdienste auf staatliche russische Akteure zurück. Eine entsprechende Einschätzung des Militärgeheimdiensts MIVD sowie des zivilen AIVD liegt dem SPIEGEL vor.
In dem Papier heißt es, vorliegende Informationen würden zeigen, »dass russische staatliche Akteure weltweit in großem Umfang versuchen, Signal- und WhatsApp-Konten von Würdenträgern, Beamten und Militärangehörigen zu kompromittieren«.
Zu den Opfern der Kampagne würden unter anderem niederländische Regierungsmitarbeiter gehören. Es sei zudem wahrscheinlich, dass auch andere Personen von Interesse zu den Zielen der Kampagne gehören, etwa Journalisten. Vermutlich sei es den Hackern gelungen, sich Zugang zu sensiblen Informationen zu verschaffen, zitiert zudem die Nachrichtenagentur Reuters aus einer Erklärung der Dienste.
Mit der Einschätzung der niederländischen Dienste wird die aktuelle Phishing-Welle auf Messengerdiensten erstmals öffentlich Russland zugeschrieben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte bereits vor rund einem Monat vor entsprechenden Angriffen auf Signal gewarnt und »wahrscheinlich staatlich gesteuerte Cyberakteure« dahinter vermutet, ohne diese genauer zu benennen.
BSI und Bundesamt für Verfassungsschutz skizzierten seinerzeit zwei Wege, wie die Täter durch sogenanntes Phishing an die Signal-Konten ihrer Opfer gelangen können. Bei der ersten Variante geben sich die Angreifer in einem Chat mit den Betroffenen als vermeintlicher »Signal Support« aus. Sie drängen auf die Preisgabe einer Sicherheits-PIN oder eines Verifizierungscodes. Mithilfe dieser Daten können sie das Nutzerkonto übernehmen und Kontaktlisten sowie alle künftigen Chats abgreifen.
-
Phishingversuche bei Signal-Messenger: Behörden warnen vor Hackerangriffen auf Politiker und Journalisten
-
Mutmaßliche Spionageoperation: Westliche Diplomaten sind in Moskau Ziel von Hackerattacken
Von Torsten Kleinz und Marcel Rosenbach
-
Cyberkrieg: So kapern russische Staatshacker Webcams in der Ukraine und Anrainerstaaten
Von Marcel Rosenbach
Bei der zweiten Variante überreden die Hacker ihre Opfer, einen QR-Code zu scannen und damit ein bestehendes Signal-Konto mit einem weiteren Handy oder Tablet zu verbinden. In diesem Fall können die Angreifer auch alle Chatnachrichten der vergangenen 45 Tage erbeuten. Die Betroffenen bemerkten oft nicht unmittelbar, dass ihre Kommunikation überwacht werde, so die Behörden.
Neu an der Einschätzung der niederländischen Behörden ist zudem, dass auch WhatsApp-Chats von dem Angriff betroffen sein sollen. Das BSI hatte in seiner Sicherheitswarnung von einem Schwerpunkt bei Signal berichtet und ein vergleichbares Vorgehen bei WhatsApp lediglich als »denkbar« bezeichnet. Den Diensten MIVD und AIVD zufolge nutzen die Angreifer auf WhatsApp in erster Linie die Funktion »Verbundene Geräte«, um auf diese Weise Zugang zu Chatgruppen zu erhalten.
Die beiden niederländischen Dienste gelten in internationalen Geheimdienstkreisen bei der Aufklärung russischer offensiver Cyberoperationen als versiert und zuverlässig. Unter anderem hatten sie in den vergangenen Jahren einen Spionageangriff des russischen Militärgeheimdiensts GRU auf die Organisation für ein Verbot von Chemiewaffen (OPCW) in Den Haag vereitelt und den Versuch des GRU aufgedeckt, einen Agenten beim dortigen Internationalen Strafgerichtshof zu infiltrieren.
