كشفت أجهزة الاستخبارات الهولندية عن حملة اختراق واسعة النطاق تستهدف مستخدمي تطبيقات المراسلة Signal وWhatsApp حول العالم. وأوضحت كل من وكالة الاستخبارات العسكرية الهولندية MIVD ووكالة الاستخبارات العامة AIVD أن الهجمات تنفذها جهات مرتبطة بالحكومة الروسية وتستهدف بشكل خاص المسؤولين الحكوميين والعسكريين إضافة إلى الصحفيين.
تعتمد هذه الهجمات على تقنيات phishing وsocial engineering بدلاً من استخدام البرمجيات الخبيثة. حيث يقوم المهاجمون بانتحال صفة فريق الدعم الخاص بتطبيق Signal ويرسلون رسائل تحذير للمستخدمين تدعي وجود نشاط مشبوه أو محاولة لاختراق بياناتهم الشخصية. وعند استجابة الضحية يطلب المهاجمون رمز التحقق الذي يصل عبر SMS إضافة إلى PIN الخاص بالحساب.
بعد الحصول على هذه البيانات يستطيع المهاجم تسجيل جهاز جديد مرتبط بالحساب باستخدام رقم هاتف مختلف مما يمنحه القدرة على انتحال شخصية الضحية والوصول إلى جهات الاتصال الخاصة به. وفي هذه الحالة قد يتم تسجيل خروج المستخدم من الحساب لكنه يستطيع إعادة تسجيل الدخول لاحقاً وهو ما قد يجعله يعتقد أن الحساب لم يتعرض للاختراق.
أوضحت الاستخبارات الهولندية أن هذه الهجمات قد تتضمن أيضاً إرسال روابط أو QR codes خبيثة للمستخدمين. وعند قيام الضحية بمسح الرمز أو فتح الرابط يتم ربط جهاز المهاجم بالحساب مباشرة دون أن يدرك المستخدم ذلك.
في حالة WhatsApp يستغل المهاجمون ميزة Linked Devices التي تسمح باستخدام الحساب على أجهزة إضافية مثل الحاسوب أو الجهاز اللوحي. وإذا نجح المهاجم في خداع الضحية وربط جهازه بالحساب فقد يتمكن من قراءة الرسائل بما في ذلك الرسائل السابقة دون أن يتم تسجيل خروج المستخدم من التطبيق.
أكدت شركة Meta أن تطبيق WhatsApp يحذر المستخدمين دائماً من مشاركة رمز التحقق المكون من ستة أرقام مع أي شخص. كما نشرت منصة Signal نصائح أمنية للمستخدمين تتضمن عدم مشاركة رموز التحقق أو PIN مع أي جهة حتى لو ادعت أنها دعم رسمي للتطبيق.
تشير التقارير إلى أن بعض هذه الأساليب سبق استخدامها من قبل مجموعات قرصنة مرتبطة بالحكومة الروسية في سياق الحرب في أوكرانيا. وتؤكد أجهزة الاستخبارات أن هذه الحملة تمثل جزءاً من نشاط سيبراني واسع يستهدف الوصول إلى حسابات شخصيات حساسة للحصول على معلومات أو مراقبة الاتصالات.
