Tijdens gezamenlijke preventieve luchtaanvallen van Israëlische en Amerikaanse troepen op Teheran, vond een geavanceerde cyber-psychologische operatie plaats. Miljoenen Iraanse burgers en militair personeel werden niet alleen gewekt door explosies, maar ook door ongeautoriseerde push notificaties van een gecompromitteerde mobiele applicatie. Dit incident markeert een nieuwe escalatie in cyberoorlog tussen natiestaten, waarbij digitale inbraak wordt gecombineerd met kinetische militaire operaties.

De primaire vector voor dit digitale offensief was de 'BadeSaba Calendar', een populaire gebedstijden-app met meer dan 5 miljoen downloads in de Google Play Store. Kort na het begin van de fysieke aanvallen op zaterdagochtend, werd het notificatiesysteem van de app gekaapt om berichten van psychologische oorlogsvoering uit te zenden. Vanaf 09:52 uur lokale tijd ontvingen gebruikers een reeks push notificaties met de titel "Hulp is onderweg". Screenshots toonden aan dat deze berichten Iraanse militairen expliciet opriepen hun posten te verlaten en hun wapens neer te leggen in ruil voor amnestie.

De exacte malware of exploitatietechniek is nog niet geidentificeerd. Cybersecurity experts beschouwen dit als een gecoordineerde operatie van een natiestaat en niet als een standaard cybercriminele aanval. De dreigingsactoren hebben waarschijnlijk de backend infrastructuur van de applicatie al vroegtijdig gecompromitteerd en de notificaties klaargezet als getriggerde payloads, perfect getimed om samen te vallen met de kinetische luchtaanvallen.

Gelijktijdig met de app-inbreuk ervoer Iran een ernstige digitale black-out. Het nationale netwerkverkeer daalde tot slechts 4 procent van het normale niveau. Staatsgelieerde persbureaus, waaronder IRNA en ISNA, werden offline gehaald door vermoedelijke gecoordineerde cyberaanvallen.

Het Amerikaanse Cyber Command heeft online aanvallen uitgevoerd op Iraanse communicatiesystemen, wat volgens een topgeneraal de weg vrijmaakte voor een gezamenlijke Amerikaanse en Israëlische bombardementscampagne. Tijdens een persconferentie in het Pentagon verklaarde generaal Dan Caine, voorzitter van de Joint Chiefs of Staff, dat de acties van het Cyber Command, samen met het U.S. Space Command, essentieel waren in het ondersteunen van de missie genaamd "Operation Epic Fury". Deze operatie resulteerde in de dood van de Iraanse Supreme Leider Ayatollah Ali Khamenei en andere hooggeplaatste Iraanse functionarissen.

Volgens Caine hebben gecoördineerde ruimte- en cyberoperaties de communicatie- en sensornetwerken in het betreffende gebied effectief verstoord, waardoor de tegenstander niet in staat was om effectief te zien, te coördineren of te reageren. Deze inspanningen hebben bijgedragen aan het verstoren, desoriënteren en verwarren van de vijand.

Caine's opmerkingen vormen de meest expliciete erkenning tot nu toe van de rol van Cyber Command in de militaire operaties die de tweede termijn van de regering-Trump hebben gekenmerkt. Eerder meldde Recorded Future News al dat het commando vorig jaar Iraanse raketafweersystemen had verstoord ter ondersteuning van een succesvolle bombardementsoperatie tegen belangrijke nucleaire sites in Iran. Caine en president Donald Trump hadden eerder dit jaar al gezinspeeld op de inspanningen van Cyber Command om de stroom in de Venezolaanse hoofdstad uit te schakelen en om de luchtverdedigingsradar en handradio's te verstoren als onderdeel van de missie om president Nicolás Maduro gevangen te nemen.

Sinds de gezamenlijke Amerikaans-Israëlische aanvallen op doelen in Iran zijn er een aantal cyberoperaties uitgevoerd, waaronder de hacking van meerdere nieuwssites en een religieuze kalender-app, naar verluidt door Israëlische digitale troepen. Deze acties bevatten berichten waarin werd opgeroepen tot desertie en verzet tegen het Iraanse regime.

Zowel Washington als Jeruzalem bereiden zich voor op mogelijke vergeldingsaanvallen van Iraanse proxygroepen of bondgenoten van Teheran. In het verleden heeft Iran een reeks kwaadaardige activiteiten uitgevoerd, variërend van ransomwareaanvallen tot denial-of-service aanvallen. Jordanië meldde dat zijn National Cybersecurity Center een Iraanse cyberaanval op de graanopslagsystemen van het land had verijdeld.

Bron: wsj.com | Bron 2: recordedfuture.com

Cisco Talos houdt de ontwikkelingen in het Midden-Oosten in de gaten en waarschuwt voor mogelijke cyberincidenten die verband houden met het conflict. Tot nu toe zijn er enkele kleine incidenten waargenomen, zoals website defacements en kleinschalige DDoS aanvallen. Talos verwacht dat Iraanse groeperingen zich vooral zullen richten op spionage, destructieve aanvallen en hack-and-leak operaties.

Hoewel de focus van het conflict momenteel op kinetische activiteiten lijkt te liggen, kan de situatie veranderen. Talos ziet nog geen significante toename van cyberactiviteit door statelijke actoren of aan hen gelieerde groepen. Wel waarschuwen ze voor sympathiserende groepen, zoals hacktivisten, die website defacements en DDoS campagnes kunnen uitvoeren. Cybercriminelen kunnen proberen de situatie uit te buiten door middel van social engineering, waarbij ze het conflict gebruiken als dekmantel voor het verspreiden van malware via links en documenten.

Talos adviseert organisaties om extra alert te zijn en de basisprincipes van security hygiene toe te passen, zoals multi-factor authenticatie (MFA), waakzaamheid bij het klikken op links en het openen van documenten, en adequate monitoring om voorbereid te zijn op eventuele gevolgen. Organisaties dienen zich bewust te zijn van de impact op partners en leveranciers in de regio en mogelijk extra inspecties of controles uit te voeren.

Werknemers worden gewaarschuwd voor "hacktivistische" lokmiddelen, zoals links met nieuws of humanitaire hulp, die kunnen leiden tot infostealers of backdoors. Talos adviseert om de frequentie van phishing-simulaties te verhogen met actuele geopolitieke thema's. Daarnaast is het belangrijk om de afhankelijkheden van de organisatie in kaart te brengen, inclusief leveranciers, service providers en ontwikkelaars in of verbonden met het conflictgebied. Voor toegang door derden dient strikte MFA te worden gehanteerd en "zero-trust" audits uit te voeren op administratieve tools. Om publieke merken te beschermen, wordt het gebruik van een Content Delivery Network (CDN) met DDoS mitigatie aanbevolen en web content management systemen (CMS) volledig te patchen. Zorg er tevens voor dat alle software is bijgewerkt naar de nieuwste versies.

Bron: Cisco Talos

Op 28 februari 2026 lanceerden de Verenigde Staten en Israël een gezamenlijke offensieve operatie genaamd "Epic Fury" (VS) en "Roaring Lion" (Israël). In de uren na deze actie begon Iran een vergeldingscampagne die is uitgegroeid tot een transregionaal conflict, aldus Unit 42.

Unit 42 heeft een toename waargenomen in cyberaanvallen van activisten buiten Iran. De beperkte internetconnectiviteit in Iran (tussen 1-4% sinds 28 februari 2026) zal naar verwachting de capaciteit van staatstroepen om gecoördineerde cyberaanvallen uit te voeren, hinderen. Dit kan leiden tot tactische autonomie voor cellen buiten Iran, hoewel de capaciteit voor complexe operaties waarschijnlijk verminderd is.

Iraanse hacktivistische groepen zullen zich richten op organisaties die als tegenstanders worden gezien, maar de impact hiervan zal waarschijnlijk laag tot gemiddeld zijn. Andere staatstroepen kunnen proberen de situatie te misbruiken om cyberaanvallen te activeren die hun eigen belangen dienen. Geografisch verspreide operators en cyber proxies kunnen zich richten op overheden in regio's met Amerikaanse militaire bases om de logistiek te verstoren. Deze activiteiten zullen waarschijnlijk bestaan uit verstoringen met een lage tot gemiddelde complexiteit, zoals DDoS aanvallen en hack en lek campagnes.

Bron: Unit 42 | Bron 2: virustotal.com

Onderzoekers hebben een vermeende Russische spionagecampagne ontdekt die gericht is op Oekraïne. Hierbij worden twee niet eerder gedocumenteerde malwarevarianten gebruikt. De campagne begint met een phishingmail met een link naar een ZIP archief. Dit archief bevat een kwaadaardig document in het Oekraïens, dat een vergunning lijkt te verlenen voor het overschrijden van een Oekraïens grenspunt, aldus onderzoekers van cybersecuritybedrijf ClearSky.

Het openen van het archief triggert de download van een malwareloader genaamd BadPaw, die vervolgens een tweede tool installeert, genaamd MeowMeow. MeowMeow is een geavanceerde backdoor die aanvallers toegang geeft tot geïnfecteerde systemen en lokaal opgeslagen bestanden kan manipuleren. Volgens ClearSky kan de backdoor controleren of specifieke bestanden op een apparaat aanwezig zijn en gegevens op de geïnfecteerde machine lezen, schrijven of verwijderen.

Beide malwarevarianten bevatten mechanismen die zijn ontworpen om detectie te vermijden. De MeowMeow backdoor scant geïnfecteerde systemen op tekenen van virtuele machines en veelgebruikte tools voor cybersecurityanalyse. De malware beëindigt zichzelf automatisch als het een onderzoeks- of sandboxomgeving detecteert.

ClearSky schrijft de campagne met een hoge mate van zekerheid toe aan een Russische, door de staat gesteunde dreigingsactor, en met een lage mate van zekerheid aan de hackinggroep APT28, ook wel bekend als Fancy Bear, BlueDelta of Forest Blizzard. De focus op Oekraïense entiteiten, in combinatie met de geopolitieke aard van de lokmail, komt overeen met de Russische strategische doelstellingen, aldus de onderzoekers.

De phishingmails werden verzonden vanaf adressen die worden gehost door ukr.net, een veelgebruikte Oekraïense e-maildienst die volgens onderzoekers in eerdere campagnes gekoppeld aan APT28 is gebruikt om inloggegevens te verzamelen en informatie te verzamelen. Het rapport vermeldt niet de doelwitten van de campagne of dat de aanvallen succesvol waren.

CERT-UA, het Oekraïense computer emergency response team, meldde eerder deze week een afzonderlijke hackingcampagne gericht op Oekraïense overheidsinstellingen met behulp van de ShadowSniff- en SalatStealer malware die informatie steelt. Het agentschap schreef de activiteit toe aan een dreigingsactor die wordt gevolgd als UAC-0252.

Bron: ClearSky | Bron 2: cert.gov.ua | Bron 3: recordedfuture.com

Na het uitbreken van openlijke conflicten tussen Iran, Israël en de Verenigde Staten is een nieuw hoofdstuk in de geopolitiek van het Midden-Oosten aangebroken. Vorige week lanceerden de Amerikaanse en Israëlische strijdkrachten Operation Lion's Roar, een gecoördineerde militaire aanval gericht op Iraanse militaire en nucleaire installaties. De aanval leidde onmiddellijk tot vergeldingsmaatregelen van Iran, die zich snel uitbreidden van fysieke slagvelden tot raket- en droneaanvallen in de Golfregio.

Naarmate het fysieke conflict intensiveert, is het cyberdomein tegelijkertijd uitgegroeid tot een kritiek en actief slagveld. Iraanse, aan de staat gelieerde cyberactoren, die al lange tijd worden erkend om hun geavanceerde aanhoudende dreigingscapaciteiten, richten zich routinematig op buitenlandse netwerken en industriële controlesystemen als onderdeel van bredere strategische doelstellingen. Deze operaties zijn bedoeld om de infrastructuur en de besluitvormingsprocessen van tegenstanders te verstoren, te degraderen of te beïnvloeden, met name in perioden van verhoogde geopolitieke spanning.

Exploitatie van standaard inloggegevens, misbruik van geldige accounts, brute force aanvallen en actieve netwerkscans domineren het huidige detectielandschap, wat erop wijst dat aanvallers in stilte doelomgevingen in kaart brengen om waardevolle activa te identificeren en een voet aan de grond te krijgen. Uit waarnemingen van de afgelopen twee weken blijkt dat de MITRE ATT&CK technieken sterk suggereren dat tegenstanders zich momenteel in een vroege verkennings- en positioneringsfase bevinden. Organisaties in het Midden-Oosten lopen een bijzonder groot risico, aangezien 61% van de gedetecteerde kwetsbaarheden in de regio HOGE of KRITIEKE CVSS scores hebben, ruim boven het wereldwijde gemiddelde van 48%. Kwetsbaarheden met een EPSS score boven 1% zijn ook goed voor ongeveer 8% van de detecties in de regio, het dubbele van het wereldwijde gemiddelde van 4%.

Vier belangrijke dreigingsgroepen stimuleren momenteel deze toename van activiteit. MuddyWater, vermoedelijk opererend namens het Iraanse ministerie van Inlichtingen en Veiligheid, is goed gedocumenteerd voor cyberespionagecampagnes tegen overheidsinstanties, energiebedrijven en telecommunicatieproviders in het Midden-Oosten, Europa, Azië en Noord-Amerika. OilRig, ook bekend als APT34 en Helix Kitten, richt zich voornamelijk op financiële diensten, defensiecontractanten en energieorganisaties door middel van spearphishing en het verzamelen van inloggegevens. APT33, ook bekend als Elfin of Refined Kitten, is actief in de lucht- en ruimtevaart-, luchtvaart-, energie- en overheidssector en heeft een staat van dienst op het gebied van zowel spionage als potentieel ontwrichtende operaties. De vierde groep, UNC1549, richt haar campagnes op defensie-, lucht- en ruimtevaart- en telecommunicatie entiteiten en stemt haar operaties nauw af op de bredere geopolitieke prioriteiten van Iran.

Kritieke infrastructuurbedrijven worden geconfronteerd met een groeiende golf van destructieve malwarecampagnes, gerichte spionage en opzettelijke aanvallen, gedreven door Iraanse dreigingsactoren die digitale operaties inzetten als een strategische krachtvermenigvuldiger. Nozomi analisten van Palo Alto Networks volgen deze evoluerende situatie op de voet, volgen zorgvuldig de activiteit van aan Iran gelinkte dreigingsgroepen en observeren een systematische toename van de bijbehorende APT-activiteit gedurende de afgelopen twee weken. De productie- en transportsector zijn in deze vroege fase van het conflict de meest voorkomende doelwitindustrieën gebleken.

Bron: Nozomi Networks

Cybersecurity onderzoekers waarschuwen voor een toename van hacktivistische activiteiten als gevolg van de militaire campagne van de VS en Israël tegen Iran, genaamd Epic Fury en Roaring Lion. Tussen 28 februari en 2 maart waren Keymous+ en DieNet verantwoordelijk voor bijna 70% van alle aanvalsactiviteiten, aldus een rapport van Radware. De eerste DDoS-aanval werd gelanceerd door Hider Nex (Tunisian Maskers Cyber Force) op 28 februari 2026.

Orange Cyberdefense meldt dat Hider Nex een Tunesische hacktivistische groep is die pro-Palestijnse doelen steunt. De groep gebruikt een hack-and-leak strategie, waarbij DDoS-aanvallen worden gecombineerd met datalekken om gevoelige data te lekken en hun geopolitieke agenda te bevorderen. De groep is actief sinds medio 2025.

In totaal werden 149 hacktivistische DDoS-claims geregistreerd, gericht op 110 verschillende organisaties in 16 landen. De aanvallen werden uitgevoerd door 12 verschillende groepen, waaronder Keymous+, DieNet en NoName057(16), die samen 74,6% van alle activiteit voor hun rekening namen.

Het merendeel van de aanvallen (107) was geconcentreerd in het Midden-Oosten, waarbij vooral publieke infrastructuur en overheidsdoelen werden getroffen. Europa was het doelwit van 22,8% van de totale wereldwijde activiteit in die periode. Bijna 47,8% van alle doelwitorganisaties wereldwijd behoorde tot de overheidssector, gevolgd door de financiële sector (11,9%) en de telecommunicatiesector (6,7%).

Volgens Radware breidt het digitale front zich uit in de regio, waarbij hacktivistische groepen tegelijkertijd meer landen in het Midden-Oosten aanvallen dan ooit tevoren. De aanvallen waren geconcentreerd in Koeweit (28%), Israël (27,1%) en Jordanië (21,5%). Naast Keymous+, DieNet en NoName057(16) zijn andere groepen die betrokken zijn bij disruptieve operaties onder meer Nation of Saviors (NOS), de Conquerors Electronic Army (CEA), Sylhet Gang, 313 Team, Handala Hack, APT Iran, de Cyber Islamic Resistance, Dark Storm Team, the FAD Team, Evil Markhors en PalachPro. Deze data is afkomstig van Flashpoint, Palo Alto Networks Unit 42 en Radware.

Pro-Russische hacktivistische groepen zoals Cardinal en Russian Legion claimen Israëlische militaire netwerken te hebben gehackt, waaronder het Iron Dome raketafweersysteem. Er is een actieve SMS phishing campagne waargenomen die een replica van de Israëlische Home Front Command RedAlert applicatie gebruikt om mobiele surveillance en data-exfiltrerende malware te verspreiden.

Flashpoint meldt dat Iran's Islamic Revolutionary Guard Corps (IRGC) de energie- en digitale infrastructuur in het Midden-Oosten aanviel, waarbij Saudi Aramco en een Amazon Web Services datacenter in de V.A.E. werden getroffen. Check Point meldt dat Cotton Sandstorm (Haywire Kitten) zijn oude cyber persona, Altoufan Team, heeft nieuw leven ingeblazen en claimt websites in Bahrein te hebben gehackt.

Sophos heeft een toename van hacktivistische activiteit waargenomen, maar geen escalatie in risico, voornamelijk van pro-Iran persona's, waaronder Handala Hack team en APT Iran in de vorm van DDoS-aanvallen, website defacements en niet-geverifieerde claims van compromissen met betrekking tot Israëlische infrastructuur. Het Britse National Cyber Security Centre (NCSC) waarschuwde organisaties voor een verhoogd risico op Iraanse cyberaanvallen en spoorde hen aan hun cybersecurity te versterken om beter te reageren op DDoS-aanvallen, phishing en ICS targeting.

Bron: Check Point | Bron 2: sophos.com | Bron 3: cisa.gov

Cyberaanvallen, gelinkt aan Iraanse dreigingsactoren, nemen een nieuwe vorm aan in het Midden Oosten conflict. Sinds eind februari 2026 is er een gecoördineerde campagne gaande om internet-verbonden IP camera's te compromitteren in meerdere landen in de regio. Dit roept ernstige vragen op over hoe cyberoperaties actief worden gebruikt om fysieke militaire activiteiten te ondersteunen.

De campagne werd voor het eerst waargenomen op 28 februari 2026, met een sterke piek in pogingen tot misbruik gericht op IP camera's in Israël, de Verenigde Arabische Emiraten, Qatar, Bahrein, Koeweit, Libanon en Cyprus. De aanvalsactiviteit is afkomstig van infrastructuren die zijn gekoppeld aan Iraanse dreigingsactoren, waarbij gebruik wordt gemaakt van commerciële VPN exit nodes – waaronder Mullvad, ProtonVPN, Surfshark en NordVPN – naast virtual private servers om hun ware herkomst te maskeren.

Check Point Research analisten identificeerden deze patronen door continue monitoring van Iran-gelinkte infrastructuur en stelden vast dat pieken in camera-exploitatie consistent overeenkomen met grote geopolitieke gebeurtenissen. De activiteit op 24 januari viel bijvoorbeeld samen met een bezoek van de U.S. Central Command commander aan Israël voor ontmoetingen op hoog niveau met de stafchef van de Israel Defense Forces.

De primaire doelwitten zijn apparaten gemaakt door twee van 's werelds meest gebruikte camerafabrikanten: Hikvision en Dahua. Beide merken zijn routinematig geïnstalleerd in openbare ruimtes, kritieke infrastructuur sites en commerciële gebouwen in de regio. Hun wijdverspreide aanwezigheid maakt ze waardevolle doelwitten voor actoren die op zoek zijn naar real-time visuele informatie. Er waren geen pogingen tot misbruik van deze infrastructuur gericht op camera's van andere fabrikanten.

Tijdens het 12-daagse conflict tussen Israël en Iran in juni 2025 werd camera-compromittering waarschijnlijk gebruikt om schade aan te richten en doelcorrectie te ondersteunen. Een voorbeeld hiervan is de Iraanse raketaanval op het Weizmann Institute of Science. Iraanse actoren zouden de controle hebben overgenomen van een camera aan de straatzijde vlak voor de inslag van de raket.

Check Point Research's analyse bracht specifiek vijf bekende kwetsbaarheden in kaart die worden aangevallen op Hikvision en Dahua apparaten. CVE-2017-7921 is een improper authenticatie fout in Hikvision camera firmware; CVE-2021-36260 is een command injection kwetsbaarheid in Hikvision's web server component. CVE-2023-6895 richt zich op een OS command injection fout in het Hikvision Intercom Broadcasting System, terwijl CVE-2025-34067 — de meest recentelijk onthulde — een unauthenticated remote code execution kwetsbaarheid is in Hikvision's Integrated Security Management Platform. CVE-2021-33044 is een authentication bypass die meerdere Dahua producten treft.

Camera systemen en NVR apparaten moeten worden verwijderd van directe internet toegang en achter een VPN of zero-trust access gateway worden geplaatst, waardoor het directe aanvalsoppervlak wordt geëlimineerd. Standaard inloggegevens moeten worden vervangen door sterke, unieke wachtwoorden op alle apparaten. Firmware en management software moeten regelmatig worden bijgewerkt, en end-of-life apparaten die geen beveiligingspatches meer ontvangen, moeten worden vervangen. Camera's moeten op geïsoleerde VLAN's worden geplaatst, waarbij uitgaand verkeer wordt beperkt tot alleen de noodzakelijke endpoints. Beveiligingsteams moeten actief controleren op herhaalde mislukte inlogpogingen, onverwachte toegang op afstand en ongebruikelijke uitgaande verbindingen van camerasystemen.

Bron: Check Point Research | Bron 2: research.checkpoint.com

De Amerikaanse Federal Bureau of Investigation (FBI) heeft bevestigd dat het een inbraak onderzoekt die systemen heeft getroffen die worden gebruikt voor het beheer van bevelschriften voor surveillance en het afluisteren van telefoongesprekken. Hoewel de federale wetshandhavingsinstantie geen verdere details wilde delen over de omvang en de algemene impact van het incident, zei ze dat het incident al is aangepakt.

"De FBI heeft verdachte activiteiten op FBI-netwerken geïdentificeerd en aangepakt, en we hebben alle technische mogelijkheden benut om te reageren," aldus de wetshandhavingsinstantie tegenover BleepingComputer.

CNN meldde dat de inbreuk betrekking heeft op FBI-systemen die worden gebruikt om bevelschriften voor het afluisteren van telefoongesprekken en buitenlandse inlichtingen te beheren. Het is momenteel onduidelijk of dit incident verband houdt met een eerder incident waarbij Chinese hackers, onderdeel van een door de staat gesteunde dreigingsgroep genaamd Salt Typhoon, Amerikaanse federale overheidssystemen hebben gecompromitteerd die worden gebruikt voor door de rechtbank goedgekeurde verzoeken tot het aftappen van netwerken in 2024.

Dat incident kwam aan het licht nadat Salt Typhoon de netwerken van telecommunicatieproviders in de VS (AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications, Comcast, Digital Realty en Windstream) had binnengedrongen, evenals tientallen andere landen. De hackers kregen ook toegang tot de "privécommunicatie" van sommige Amerikaanse overheidsfunctionarissen.

In november 2021 werden de e-mailservers van de FBI ook gehackt om spam-e-mails te verspreiden die zich voordeden als het bureau en waarin ontvangers werden gewaarschuwd voor valse cyberaanvallen. De FBI onthulde in februari 2023 ook dat het een kwaadaardige cyberactiviteit onderzocht waarbij een computersysteem van het FBI New York Field Office betrokken was dat werd gebruikt om onderzoek te doen naar seksuele uitbuiting van kinderen.

Bron: FBI | Bron 2: edition.cnn.com | Bron 3: hubs.li

De Nederlandse militaire inlichtingendienst (MIVD) en de binnenlandse veiligheidsdienst (AIVD) waarschuwen voor een wereldwijde campagne van Russische staatshackers die proberen Signal- en WhatsApp-accounts van overheidsfunctionarissen en militairen te compromitteren. Ook Nederlandse overheidsmedewerkers behoren tot de slachtoffers. De campagne richt zich op hoogwaardigheidsbekleders, ambtenaren en leden van de strijdkrachten, maar kan zich ook richten op journalisten en anderen die interessant zijn voor de Russische overheid.

De aanvallen zijn gericht op individuele accounts en duiden niet op een inbreuk op de messaging platforms zelf. Signal en WhatsApp gebruiken het Signal Protocol, een end-to-end encryptiesysteem dat algemeen wordt beschouwd als de sterkste beschikbare methode om de inhoud van berichten tijdens de verzending te beschermen. Berichten blijven echter leesbaar als een aanvaller toegang krijgt tot het apparaat of account van een gebruiker.

De campagne maakt geen gebruik van technische gebreken, maar misbruikt legitieme beveiligingsfuncties in de apps en vertrouwt op social engineering. Aanvallers doen zich voor als klantenservice en proberen slachtoffers te misleiden om verificatiecodes of pincodes te delen die nodig zijn om toegang te krijgen tot hun messaging accounts. De hackers kunnen die codes triggeren door het normale registratieproces te starten met behulp van het telefoonnummer van het doelwit. Signal en WhatsApp sturen automatisch een verificatiecode naar elk nummer dat tijdens de accountregistratie wordt ingevoerd.

Vervolgens beweren de aanvallers, zich voordoend als supportmedewerkers, dat het slachtoffer de code moet delen om hun account te beveiligen of te verifiëren. Als het slachtoffer de code verstrekt, kan de aanvaller de code op zijn eigen apparaat invoeren en de controle over het account overnemen, waardoor hij berichten kan lezen en verzenden terwijl hij zich voordoet als het slachtoffer. Een andere methode is om gebruikers over te halen om kwaadaardige QR-codes te scannen of op links te klikken die het apparaat van een hacker verbinden met het account van het slachtoffer via de functie "gekoppelde apparaten" van de apps, waardoor aanvallers toegang krijgen tot chats en berichtgeschiedenis.

De Nederlandse diensten waarschuwen gebruikers om nooit verificatiecodes te delen, geen onbekende QR-codes te scannen en berichten die zogenaamd van Signal support afkomstig zijn te negeren.

Bron: AIVD | Bron 2: recordedfuture.com

Legers gebruiken al decennia satellieten, drones en spionnen voor verkenning en surveillance. Echter, onbeveiligde consumentenelektronica, zoals beveiligingscamera's, vormen een nieuw wapen. Check Point, een beveiligingsbedrijf uit Tel Aviv, publiceerde woensdag een onderzoek naar honderden hackpogingen op consumentencamera’s in het Midden-Oosten. Veel van deze pogingen vonden plaats tijdens Iraanse raketaanvallen op doelen in Israël, Qatar en Cyprus. Een hackersgroep met banden met de Iraanse inlichtingendienst wordt verdacht van het gebruik van burgercamera’s om doelen te selecteren, aanvallen te plannen of de schade na een inslag te inspecteren.

De Financial Times meldde vorige week dat het Israëlische leger toegang had tot "vrijwel alle" verkeerscamera’s in Teheran. Deze beelden werden in samenwerking met de CIA gebruikt om een luchtaanval te coördineren waarbij de Iraanse leider ayatollah Ali Khamenei om het leven zou zijn gekomen. Israëlische bronnen meldden dat ze het dagelijks leven van de bewakers rondom de leider in kaart brachten via livebeelden van verkeerscamera’s.

Volgens Check Point is het hacken van beveiligingscamera’s een integraal onderdeel van de moderne oorlogsvoering. De informatie is waardevol en de hacks zijn relatief eenvoudig, omdat camera’s zelden worden bijgewerkt met beveiligingsupdates. Vaak blijven camera’s in gebruik, zelfs nadat ze end-of-life zijn. Bij de recente Iraanse cyberaanvallen maakten hackers gebruik van bekende kwetsbaarheden in populaire modellen beveiligingscamera’s, waarvoor patches beschikbaar waren.

Ook in Oekraïne waarschuwen autoriteiten al jaren dat Rusland consumentencamera’s hackt om troepenbewegingen te bespioneren. De Oekraïense geheime dienst SSU heeft naar eigen zeggen al 10.000 met internet verbonden camera’s uitgeschakeld om te voorkomen dat Rusland ze kon gebruiken voor raketaanvallen. Oekraïne gebruikt de techniek zelf ook; beelden van een aanval op een Russische onderzeeër in de baai van Sebastopol leken afkomstig van een gekaapte bewakingscamera.

Bron: Check Point

Maart 2026