Default
Door Remote - 14 May 2026
Eerder dit jaar bevond Donncha Ó Cearbhaill, een beveiligingsonderzoeker die spyware-aanvallen onderzoekt, zich in een ongebruikelijke positie. Voor één keer werd hij het doelwit van hackers.
"Beste gebruiker, dit is de Signal Security Support ChatBot. We hebben verdachte activiteit op uw apparaat opgemerkt, wat tot een datalek had kunnen leiden", lees een bericht dat hij op zijn Signal-account ontving.
“We hebben ook pogingen gedetecteerd om toegang te krijgen tot uw privégegevens in Signal”, beweerde het bericht.
"Om dit te voorkomen, moet u de verificatieprocedure doorlopen en de verificatiecode invoeren in de Signal Security Support Chatbot. VERTEL NIETS DE CODE, ZELFS SIGNALEER WERKNEMERS NIET."
Het is duidelijk dat Ó Cearbhaill, hoofd van het Security Lab van Amnesty International, onmiddellijk inzag dat dit een “onverstandige” poging was om zijn Signal-account te hacken. In plaats daarvan dacht hij dat het een goede gelegenheid zou zijn om aan een onverwacht onderzoek deel te nemen.
De onderzoeker vertelde TechCrunch dat hij tot dan toe “nooit bewust” het doelwit was geweest van een cyberaanval met één klik of een dergelijke phishing-poging.
“Dat de aanval in mijn inbox belandde en de kans om de rollen van de aanvallers om te draaien en meer over de campagne te begrijpen, was te mooi om te laten liggen”, zei hij.
Het bleek dat de poging tot aanval op Ó Cearbhaill waarschijnlijk deel uitmaakte van een bredere hackcampagne gericht op een grote groep Signal-gebruikers. De strategieën van de hackers waren om zich voor te doen als Signal, te waarschuwen voor valse veiligheidsbedreigingen en te proberen doelen te misleiden om de hackers toegang te geven tot hun account door dit te koppelen aan een apparaat dat door de hackers werd beheerd.
Deze technieken waren precies dezelfde als die uit een bredere campagne waarvoor de Amerikaanse cyberveiligheidsdienst CISA, de Britse cyberveiligheidsdienst en de Nederlandse inlichtingendiensten allemaal hebben gewaarschuwd en de Russische spionnen de schuld hebben gegeven. Ook Signal heeft gewaarschuwd voor phishing-aanvallen gericht op zijn gebruikers. Het Duitse nieuwsmagazine Der Spiegel ontdekte dat de Russische hackers verschillende mensen in het land konden compromitteren, waaronder spraakmakende politici.
Ó Cearbhaill zei in een reeks online berichten dat hij erachter was gekomen dat hij een van de ruim 13.500 doelwitten was. Hij weigerde precies te onthullen hoe hij de hackpoging en -campagne onderzocht om te voorkomen dat zijn hand aan de hackers zou worden onthuld, maar deelde een paar details over wat hij leerde.
Een screenshot van de phishing-aanval gericht op donncha Ó Cearbhaill, een beveiligingsonderzoeker bij Amnesty International. Beeldcredits: Donncha Ó Cearbhaill
Ten eerste realiseerde Ó Cearbhaill zich dat andere doelwitten ook journalisten waren met wie hij had samengewerkt, en ook een collega. Op dat moment zei hij dat hij al vermoedde dat dit een opportunistische aanval was waarbij hackers dankzij die succesvolle aanvallen doelen in gevaar brachten en nieuwe potentiële slachtoffers identificeerden.
Ó Cearbhaill noemde het een ‘sneeuwbalhypothese’ en zei dat hij ervan overtuigd is dat hij een doelwit is geworden, omdat hij waarschijnlijk in een groepschat zat met iemand die werd gehackt, waardoor de hackers de kans kregen om de contactgegevens van nieuwe doelwitten te vinden.
De onderzoeker zei dat hij het systeem kon identificeren dat de hackers gebruikten, dat “ApocalypseZ” wordt genoemd en dat de aanval automatiseert, waardoor de hackers zich in grote aantallen op veel mensen tegelijk kunnen richten met beperkt menselijk toezicht.
Neem contact met ons op
Heeft u meer informatie over aanvallen op Signal-gebruikers? Of andere gerichte aanvallen? Vanaf een niet-werkapparaat kunt u veilig contact opnemen met Lorenzo Franceschi-Bicchierai op Signal op +1 917 257 1382, of via Telegram en Keybase @lorenzofb, of e-mail.
Hij ontdekte ook dat de codebase en de operatorinterface in het Russisch zijn, en dat de hackers slachtofferchats naar het Russisch vertaalden, wat aansluit bij de hypothese dat dit dezelfde hackgroep van de Russische overheid was die achter soortgelijke campagnes zat.
Ó Cearbhaill zei dat hij de campagne nog steeds in de gaten houdt en heeft gezien dat de aanvallen doorgaan, wat betekent dat het totale aantal doelwitten zeker veel hoger is dan het aantal dat hij eerder dit jaar zag.
Hij zei dat hij betwijfelt of de hackers hem nog een keer zullen achtervolgen en dat hij er waarschijnlijk überhaupt spijt van zal krijgen dat hij achter hem aan is gegaan. He said: “I welcome future messages, especially if they have zero-days they would like to share," referring to security flaws that are not yet known to the vendor, which are often used in attacks that he investigates.
Ó Cearbhaill zei dat als Signal-gebruikers zich zorgen maken over het doelwit van dit soort aanvallen, ze Registration Lock moeten inschakelen, een functie waarmee gebruikers een pincode voor hun account kunnen instellen die voorkomt dat anderen hun telefoonnummer op een ander apparaat registreren.
"Beste gebruiker, dit is de Signal Security Support ChatBot. We hebben verdachte activiteit op uw apparaat opgemerkt, wat tot een datalek had kunnen leiden", lees een bericht dat hij op zijn Signal-account ontving.
“We hebben ook pogingen gedetecteerd om toegang te krijgen tot uw privégegevens in Signal”, beweerde het bericht.
"Om dit te voorkomen, moet u de verificatieprocedure doorlopen en de verificatiecode invoeren in de Signal Security Support Chatbot. VERTEL NIETS DE CODE, ZELFS SIGNALEER WERKNEMERS NIET."
Het is duidelijk dat Ó Cearbhaill, hoofd van het Security Lab van Amnesty International, onmiddellijk inzag dat dit een “onverstandige” poging was om zijn Signal-account te hacken. In plaats daarvan dacht hij dat het een goede gelegenheid zou zijn om aan een onverwacht onderzoek deel te nemen.
De onderzoeker vertelde TechCrunch dat hij tot dan toe “nooit bewust” het doelwit was geweest van een cyberaanval met één klik of een dergelijke phishing-poging.
“Dat de aanval in mijn inbox belandde en de kans om de rollen van de aanvallers om te draaien en meer over de campagne te begrijpen, was te mooi om te laten liggen”, zei hij.
Het bleek dat de poging tot aanval op Ó Cearbhaill waarschijnlijk deel uitmaakte van een bredere hackcampagne gericht op een grote groep Signal-gebruikers. De strategieën van de hackers waren om zich voor te doen als Signal, te waarschuwen voor valse veiligheidsbedreigingen en te proberen doelen te misleiden om de hackers toegang te geven tot hun account door dit te koppelen aan een apparaat dat door de hackers werd beheerd.
Deze technieken waren precies dezelfde als die uit een bredere campagne waarvoor de Amerikaanse cyberveiligheidsdienst CISA, de Britse cyberveiligheidsdienst en de Nederlandse inlichtingendiensten allemaal hebben gewaarschuwd en de Russische spionnen de schuld hebben gegeven. Ook Signal heeft gewaarschuwd voor phishing-aanvallen gericht op zijn gebruikers. Het Duitse nieuwsmagazine Der Spiegel ontdekte dat de Russische hackers verschillende mensen in het land konden compromitteren, waaronder spraakmakende politici.
Ó Cearbhaill zei in een reeks online berichten dat hij erachter was gekomen dat hij een van de ruim 13.500 doelwitten was. Hij weigerde precies te onthullen hoe hij de hackpoging en -campagne onderzocht om te voorkomen dat zijn hand aan de hackers zou worden onthuld, maar deelde een paar details over wat hij leerde.
Een screenshot van de phishing-aanval gericht op donncha Ó Cearbhaill, een beveiligingsonderzoeker bij Amnesty International. Beeldcredits: Donncha Ó Cearbhaill
Ten eerste realiseerde Ó Cearbhaill zich dat andere doelwitten ook journalisten waren met wie hij had samengewerkt, en ook een collega. Op dat moment zei hij dat hij al vermoedde dat dit een opportunistische aanval was waarbij hackers dankzij die succesvolle aanvallen doelen in gevaar brachten en nieuwe potentiële slachtoffers identificeerden.
Ó Cearbhaill noemde het een ‘sneeuwbalhypothese’ en zei dat hij ervan overtuigd is dat hij een doelwit is geworden, omdat hij waarschijnlijk in een groepschat zat met iemand die werd gehackt, waardoor de hackers de kans kregen om de contactgegevens van nieuwe doelwitten te vinden.
De onderzoeker zei dat hij het systeem kon identificeren dat de hackers gebruikten, dat “ApocalypseZ” wordt genoemd en dat de aanval automatiseert, waardoor de hackers zich in grote aantallen op veel mensen tegelijk kunnen richten met beperkt menselijk toezicht.
Neem contact met ons op
Heeft u meer informatie over aanvallen op Signal-gebruikers? Of andere gerichte aanvallen? Vanaf een niet-werkapparaat kunt u veilig contact opnemen met Lorenzo Franceschi-Bicchierai op Signal op +1 917 257 1382, of via Telegram en Keybase @lorenzofb, of e-mail.
Hij ontdekte ook dat de codebase en de operatorinterface in het Russisch zijn, en dat de hackers slachtofferchats naar het Russisch vertaalden, wat aansluit bij de hypothese dat dit dezelfde hackgroep van de Russische overheid was die achter soortgelijke campagnes zat.
Ó Cearbhaill zei dat hij de campagne nog steeds in de gaten houdt en heeft gezien dat de aanvallen doorgaan, wat betekent dat het totale aantal doelwitten zeker veel hoger is dan het aantal dat hij eerder dit jaar zag.
Hij zei dat hij betwijfelt of de hackers hem nog een keer zullen achtervolgen en dat hij er waarschijnlijk überhaupt spijt van zal krijgen dat hij achter hem aan is gegaan. He said: “I welcome future messages, especially if they have zero-days they would like to share," referring to security flaws that are not yet known to the vendor, which are often used in attacks that he investigates.
Ó Cearbhaill zei dat als Signal-gebruikers zich zorgen maken over het doelwit van dit soort aanvallen, ze Registration Lock moeten inschakelen, een functie waarmee gebruikers een pincode voor hun account kunnen instellen die voorkomt dat anderen hun telefoonnummer op een ander apparaat registreren.