Cyberoorlog nieuws

De Russische binnenlandse veiligheidsdienst FSB heeft dinsdag buitenlandse inlichtingendiensten beschuldigd van het uitvoeren van een spionageoperatie tegen hoge Russische functionarissen. De FSB beweert dat spionnen de infrastructuur en capaciteiten van grote internationale technologiebedrijven hebben gebruikt om gevoelige overheidsinformatie heimelijk te verzamelen.

In een verklaring meldde de FSB een "grootschalige operatie" te hebben ontdekt waarbij kwaadaardige software was geïnstalleerd op de mobiele apparaten van hoge Russische functionarissen. De dienst stelt dat de malware werd gebruikt om data te extraheren, communicatie te onderscheppen en onopgemerkt audio- en video-surveillance uit te voeren. De FSB beweerde dat buitenlandse inlichtingendiensten de operatie uitvoerden "met behulp van de technische mogelijkheden van grote internationale IT-corporaties en mobiele communicatietechnologieën."

De Russische autoriteiten hebben een strafrechtelijk onderzoek geopend en stellen dat er inspanningen gaande zijn om de daders te identificeren, de gebruikte infrastructuur in kaart te brengen en de omvang van de gecompromitteerde informatie vast te stellen. Volgens het Russische staatspersbureau TASS beschreef een FSB-functionaris de campagne als een van de grootste buitenlandse inlichtingenoperaties die de dienst ooit heeft ontdekt. De functionaris claimde dat het doel was om informatie over contacten, plannen en beoordelingen van functionarissen direct te verzamelen, in plaats van via tussenpersonen.

De FSB beweerde dat de operatie toegang mogelijk maakte tot correspondentie, telefoongesprekken, geolocatie-informatie, contactlijsten en audio- en videodata verzameld van de apparaten en hun omgeving. Ook werd gesteld dat sommige functionarissen die naar verluidt het doelwit waren van de campagne, later op sanctielijsten van de Verenigde Staten en de Europese Unie verschenen, wat suggereert dat de inlichtingen mogelijk werden gebruikt om drukcampagnes tegen hen te ondersteunen. De dienst maakte echter niet de naam bekend van de spyware die naar verluidt betrokken was, verklaarde niet hoe de malware apparaten infecteerde, noch leverde technische bewijzen ter ondersteuning van haar claims.

Naast het publiceren van een verklaring, verspreidde de FSB een video aan Russische media. Volgens TASS bevatte de beelden kantoren die gelinkt zijn aan internationale technologiebedrijven waarvan de infrastructuur naar verluidt in de operatie werd gebruikt, waaronder contentleveringsbedrijven en cybersecuritybedrijven Cloudflare en Fastly. Geen van beide bedrijven werd direct beschuldigd van deelname aan de vermeende spionageoperatie. Beide bedrijven exploiteren content delivery netwerken die websites helpen content wereldwijd te verspreiden en cybersecuritydiensten te leveren. Cloudflare en Fastly hebben geen publieke reactie gegeven.

De beschuldigingen doen denken aan een eerdere claim van de FSB uit 2023, toen de dienst Amerikaanse inlichtingendiensten ervan beschuldigde spyware te gebruiken om duizenden Apple iPhones van Russische functionarissen en diplomaten te compromitteren. Die campagne, door het Russische cybersecuritybedrijf Kaspersky aangeduid als Operation Triangulation, richtte zich op slachtoffers via kwaadaardige iMessages en zou meerdere jaren actief zijn geweest. Destijds beschuldigde de FSB Apple van het faciliteren van de operatie, een beschuldiging die het bedrijf verwierp. De FSB legde geen verband tussen de recente beschuldigingen en Operation Triangulation, en Kaspersky reageerde niet op een verzoek om commentaar over de nieuw beweerde spionagecampagne.

Bron: FSB | Bron 2: tass.ru | Bron 3: recordedfuture.com

De veiligheidsdiensten van de ‘Five Eyes’-alliantie, een samenwerkingsverband tussen de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland, hebben een gezamenlijke waarschuwing uitgegeven. Deze waarschuwing richt zich op de activiteiten van Chinese inlichtingendiensten die proberen Britse ambtenaren en militairen te rekruteren. De methode die hiervoor wordt gebruikt, omvat het aanbieden van nepvacatures op professionele netwerksites zoals LinkedIn.

Volgens de Britse veiligheidsdienst, die deel uitmaakt van de Five Eyes-alliantie, zetten Chinese inlichtingendiensten valse profielen en fictieve bedrijven in om contact te leggen met potentiële doelwitten. Via deze weg worden individuen benaderd met aantrekkelijke, maar frauduleuze, vacatures. Het uiteindelijke doel is om deze personen te rekruteren voor spionagedoeleinden en zo toegang te krijgen tot gevoelige informatie.

Deze officiële waarschuwing volgt op een eerdere melding van België in maart, waarin het land reeds aan de alarmbel trok over mogelijke Chinese spionageactiviteiten op Belgisch grondgebied. De herhaalde waarschuwingen van verschillende westerse inlichtingendiensten onderstrepen de aanhoudende dreiging van statelijke actoren die professionele platforms misbruiken voor inlichtingenvergaring. Het incident benadrukt het belang van verhoogde waakzaamheid bij het screenen van online contacten en vacatures, met name voor personen werkzaam in gevoelige overheids- en defensiesectoren.

Bron: Britse veiligheidsdienst

Het Russische Hooggerechtshof overweegt twee hackergroepen, Belarusian Cyber Partisans en Silent Crow, aan te merken als extremistische organisaties, wat hun activiteiten in Rusland effectief zou verbieden. Deze stap volgt op diverse cyberaanvallen die de groepen hebben opgeëist, gericht op kritieke infrastructuur en overheidsinstellingen in zowel Rusland als Belarus. De rechtbank heeft een besloten hoorzitting gepland om het verzoek te behandelen, zonder verdere toelichting op de motivering voor de extremistische aanduiding.

In reactie op de aankondiging liet Belarusian Cyber Partisans via een Telegram-bericht weten: "Hier is de erkenning van Ruslands Z-dictatuur van de effectiviteit van ons werk en dat van Silent Crow. We gaan ermee door." Silent Crow heeft geen publieke verklaring afgelegd.

De juridische procedure komt minder dan een jaar nadat beide groepen de verantwoordelijkheid opeisten voor een omvangrijke cyberaanval op de Russische nationale luchtvaartmaatschappij Aeroflot in juli 2025. Dit incident leidde tot de annulering van meer dan 100 vluchten, waardoor ongeveer 20.000 passagiers hinder ondervonden. De hackers beweerden destijds de IT infrastructuur van de luchtvaartmaatschappij te hebben vernietigd en een aanzienlijke hoeveelheid gevoelige data te hebben geëxfiltreerd. Deze data omvatte onder meer vluchtgegevens, interne gespreksopnames en informatie uit systemen voor werknemersmonitoring. Later publiceerden de groepen wat zij presenteerden als vluchtgegevens van de chief executive van Aeroflot.

In Rusland resulteert de aanwijzing als extremistische organisatie in een feitelijk verbod. Activiteiten worden verboden, websites en publicaties kunnen worden geblokkeerd, en personen die met de groepen in verband worden gebracht, riskeren administratieve of strafrechtelijke sancties. Het is echter onduidelijk welke concrete impact deze aanwijzing zal hebben op de twee hackergroepen, die voornamelijk online opereren. Beide groepen onderhouden openbare Telegram-kanalen, terwijl Belarusian Cyber Partisans tevens een website en een YouTube-kanaal beheert.

De Belarusian Cyber Partisans ontstonden na de massale protesten in Belarus in 2020 tegen president Alexander Lukashenko, volgend op verkiezingen die door westerse landen als gemanipuleerd werden beschouwd. Sindsdien heeft de groep diverse spraakmakende cyberoperaties uitgevoerd, waaronder aanvallen op Belarussische staatsinstellingen en het spoorwegnetwerk van het land. De groep stelde dat deze aanvallen gericht waren op het verstoren van de Russische militaire logistiek. In een interview in 2024 met Recorded Future News gaven leden van de groep aan dat zij informatie, verkregen uit gehackte Russische entiteiten, deelden met Oekraïense inlichtingendiensten en westerse organisaties.

Silent Crow, een pro-Oekraïense hackergroep, heeft de verantwoordelijkheid opgeëist voor meerdere cyberaanvallen op Russische doelwitten. Eerder vorig jaar claimde de groep te zijn ingebroken bij Rosreestr, het Russische staatseigendomsregister. Sinds de aanval op Aeroflot heeft Silent Crow geen updates meer geplaatst op zijn Telegram-kanaal.

Bron: Russisch Hooggerechtshof | Bron 2: recordedfuture.com

Westerse inlichtingendiensten waarschuwen voor een toenemende trend waarbij door China gelinkte staatsactoren vacaturesites misbruiken om overheidsmedewerkers en militairen te verleiden tot het delen van gevoelige informatie. Deze waarschuwing is afkomstig van de Five Eyes (FVEY), een internationaal inlichtenpartnerschap bestaande uit agentschappen uit het Verenigd Koninkrijk, de Verenigde Staten, Canada, Australië en Nieuw-Zeeland. Vijf agentschappen, waaronder de Britse MI5 en de Amerikaanse FBI, hebben een gezamenlijk rapport uitgebracht over de werkwijze van deze spionageoperaties.

De werkwijze van de spionnen omvat een gedetailleerde inspectie van cv's van sollicitanten, om te beoordelen welke geheimen zij mogelijk kunnen prijsgeven. Geselecteerde kandidaten worden vervolgens online geïnterviewd via videogesprekken, waarbij de spionnen hun ware identiteit en intenties verborgen houden. Na het interviewproces wordt de sollicitanten gevraagd een proefrapport te schrijven over onderwerpen als handel, defensie of politiek.

De communicatie wordt daarna verplaatst naar geheime, versleutelde berichtenapps, waar de kandidaten onder druk worden gezet om niet-openbare details te verstrekken. Zelfs als een sollicitant geen topgeheimen bezit, kan het combineren van kleine stukjes normale informatie de Chinese overheid van dienst zijn. De spionnen vergoeden deze rapporten via platforms als PayPal, Wise en cryptocurrency, met bedragen variërend van enkele honderden tot duizenden dollars.

De dreigingsactoren richten zich naar verluidt op personen met een speciale veiligheidsmachtiging. Hun voorkeursdoelwitten zijn militairen, in het bijzonder degenen die werkzaam zijn in de Indo-Pacifische regio. Echter, ook academici, journalisten en freelance schrijvers met connecties in de overheids- of handelssectoren kunnen het doelwit zijn.

Dit soort activiteiten is al geruime tijd gaande. Er zijn eerder meldingen geweest van dergelijke zwendelpraktijken, waaronder de spionagezaak met grote impact op de economie rond de Chinese universiteitsprofessor Hao Zhang. Hij werd in 2020 veroordeeld voor samenzwering met de Universiteit van Tianjin om gevoelige draadloze filtertechnologie te stelen van de Amerikaanse bedrijven Avago en Skyworks. Eerder heeft de directeur-generaal van MI5 in het Verenigd Koninkrijk, Ken McCallum, verklaard dat Chinese agenten LinkedIn gebruikten om Britse politici te benaderen, en merkte hij op dat zij hebben geprobeerd ten minste 20.000 Britten te lokken met deze nep-vacatures.

In reactie op de waarschuwing heeft de Britse minister van Veiligheid, Dan Jarvis, aangegeven dat het land deze vijandige acties van andere landen zal blijven bestrijden. Hij wees er ook op dat Noord-Korea een belangrijke dreiging vormt, aangezien het land nep-IT-werknemers op afstand heeft ingezet om toegang te krijgen tot prominente bedrijven voor financiële en staatsdoelen. Jarvis voegde eraan toe dat het Verenigd Koninkrijk politiek in gesprek zal blijven met China, maar dat de regering dergelijk gedrag niet zal tolereren. Het rapport waarschuwt tevens dat iedereen die geheime details deelt, op grond van spionagewetten gevangenisstraf riskeert.

Dit is niet de eerste keer dat de Five Eyes-alliantie een waarschuwing heeft afgegeven over hackers gevestigd in China die kritieke infrastructuur in het Westen aanvallen. In juli 2024 onthulde de alliantie dat China's APT40, ook bekend als GADOLINIUM, BRONZE of TEMP.Periscope, overheidsnetwerken had gehackt door misbruik te maken van bekende kritieke kwetsbaarheden.

Bron: Five Eyes

De veiligheidsdiensten van de Verenigde Staten hebben afluisterapparatuur en spionagesoftware ontdekt in overheidsvoertuigen en -telefoons, die toegeschreven worden aan Israël. Deze bevindingen hebben ertoe geleid dat het dreigingsniveau voor spionage door Israël is opgeschroefd naar 'kritiek', het hoogst mogelijke niveau. Dit nieuws, dat naar buiten kwam via Amerikaanse media zoals NBC News en The New York Times, wijst op toenemende spanningen in de traditioneel nauwe bondgenootschappelijke relatie tussen de twee landen.

Amerikaanse defensiemedewerkers gestationeerd in Israël zouden hebben ontdekt dat zonder hun toestemming software op hun telefoons was geïnstalleerd, specifiek ontworpen om gesprekken af te luisteren. Dit incident wordt gezien als een belangrijke motivatie voor de verhoging van het dreigingsniveau, zoals vastgelegd in een intern rapport van de Defense Intelligence Agency, de inlichtingendienst van het Pentagon. Volgens correspondent Lennard Swolfs duiden deze sterke aanwijzingen erop dat Israël actief Amerikaanse functionarissen bespioneert.

Het rapport van de Defense Intelligence Agency somt meerdere incidenten op. Israël zou onderhandelaars hebben afgeluisterd die bezig waren met de onderhandelingen met Iran. Inlichtingenrapporten suggereren dat Israëlische diensten mogelijk gesprekken hebben onderschept of geprobeerd hebben gevoelige informatie te verkrijgen over interne Amerikaanse standpunten met betrekking tot deze onderhandelingen. Specifiek wordt vermoed dat Steve Witkoff, de Amerikaanse speciaal gezant voor het Midden-Oosten, en Elbridge Colby, de ondersecretaris van Defensie voor Beleid van de Verenigde Staten, het doelwit waren van deze afluisterpraktijken.

De spionagesoftware op telefoons is niet het enige bewijs van Israëlische inlichtingenactiviteiten. Reeds in 2021 werden Israëlische militaire veiligheidsdiensten betrapt terwijl zij afluisterapparatuur installeerden op het hoofdkwartier van de DIA, de inlichtingendienst van het Amerikaanse ministerie van Defensie. Een ander incident omvat een poging van de Shin Bet, de Israëlische binnenlandse veiligheidsdienst, om een afluisterapparaat te plaatsen in een voertuig van de Secret Service, waarschijnlijk een beveiligingsauto van Amerikaanse overheidsbeveiliging.

Volgens The New York Times zou Israël vooral geïnteresseerd zijn in hoe de Amerikaanse regering onder president Trump haar strategie aanpast in de onderhandelingen met Iran. Hoewel de militaire samenwerking tussen de VS en Israël sterk blijft, kunnen de verhoogde dreigingsinschattingen leiden tot extra beperkingen op het delen van gevoelige informatie, om zo lekken en afluisterrisico's te minimaliseren.

Officiële reacties op de beschuldigingen zijn terughoudend. De Israëlische ambassade in Washington ontkent het nieuws stellig en benadrukt dat bevriende staten elkaar niet bespioneren. Ook het Witte Huis ontkent de beschuldigingen. Amerikaanse defensiebronnen erkennen de verhoogde zorgen, maar benadrukken dat dit geen officiële beschuldiging of een breuk in de relatie betekent. Desondanks maakt de huidige inschatting dat Israël het grootste contraspionagerisico vormt onder Amerikaanse bondgenoten, de situatie uitzonderlijk gevoelig.

Bron: The New York Times | Bron 2: vrtnws.be

Rusland voert al maandenlang gecoördineerde desinformatiecampagnes om de parlementsverkiezingen in Armenië te beïnvloeden. Dit gebeurt in een sfeer van manipulatie en valse beweringen, gericht op het sturen van de publieke opinie. De uitkomst van deze verkiezingen is van belang voor de Europese Unie, aangezien Armenië een van de weinige landen in de Kaukasus is met een pro-westerse oriëntatie, die Moskou niet uit zijn invloedssfeer wil laten glippen.

De desinformatiecampagnes maken gebruik van gecoördineerde netwerken, waaronder 'Matryoshka' en 'Storm-1516'. Een significant deel van de valse informatie is gericht op de Armeense premier Nikol Pasjinjan, die in 2018 aan de macht kwam met een pro-Europese koers. Beweringen die circuleren omvatten onder meer een nepvideo waarin Pasjinjan een kind zou slaan, en valse claims over een geheime villa in het buitenland.

Armeense factcheckers, zoals die van CivilNet, hebben het druk met het ontkrachten van diverse misleidende berichten. Zo werd beweerd dat Pasjinjan kanker of zelfs hiv zou hebben en zich in het geheim in Frankrijk zou laten behandelen. Deze beweringen worden soms verspreid via video's die de stijl en het merk van gerespecteerde nieuwsmedia, zoals CivilNet zelf, imiteren om geloofwaardigheid te suggereren. Ook internationale nieuwsmedia worden op deze manier nagemaakt om valse beweringen te verspreiden.

Een andere opvallende valse bewering betreft het familieverleden van Pasjinjan, waarin gesuggereerd wordt dat zijn grootvader een naziverleden zou hebben gehad. Onderzoek van CivilNet toonde aan dat deze claim oorspronkelijk via Russische Telegramkanalen werd verspreid, vervolgens via de algemene Russische nieuwszenders en uiteindelijk in het Armeense politieke debat terechtkwam.

De valse beweringen worden ook ingezet om de nauwe banden van premier Pasjinjan met de Europese Unie als problematisch neer te zetten. Een veelvoorkomend narratief stelt dat als Pasjinjan zou winnen, Armenië een "tweede Oekraïne" zou worden en Europa het land zou gebruiken om een oorlog tegen Rusland te starten. De desinformatie is niet alleen afkomstig van buitenlandse actoren; ook binnenlandse politieke figuren, inclusief individuen uit de omgeving van de regeringspartij, zijn betrokken bij het verspreiden van misleidende berichten via valse accounts.

Een tactiek die deel uitmaakt van het 'Matryoshka'-netwerk is een georganiseerd e-mailoffensief. Armeense factcheckers ontvangen e-mails met dringende verzoeken om specifieke nieuwsberichten te factchecken. Hoewel deze op het eerste gezicht spontaan lijken, wijst onderzoek uit dat het gaat om gecoördineerde acties, want er zijn veel e-mails, de e-mailadressen volgen een vergelijkbaar patroon en de doorgestuurde links komen vaak exact overeen. De claims waar een factcheck voor wordt gevraagd, vinden hun oorsprong meestal op Russische Telegramkanalen. Deze aanpak kan dienen om factcheckers af te leiden van andere virale berichten of om de valse beweringen via de factcheck zelf verder te verspreiden.

Binnen het 'Matryoshka'-netwerk zijn minstens 343 video's met valse beweringen gepubliceerd, zoals geïdentificeerd door het 'Bot Blocker' project, dat pro-Russische botactiviteiten op sociale media analyseert. Naast 'Matryoshka' is ook het Russische netwerk 'Storm-1516' actief, dat zich richt op de grootschalige productie van valse video's en berichten, volgens internationale onderzoekers.

Bron: CivilNet

Sinds 2019 zijn gps-signalen boven grote delen van Europa, van IJsland tot Italië, meermaals verstoord. Onafhankelijke onderzoeksteams van de Universiteit van Texas en gps-experts van het Spaanse technologiebedrijf GMV hebben vastgesteld dat deze verstoringen gelinkt kunnen worden aan Russische satellieten. De onderbrekingen duren doorgaans minder dan 10 seconden en leiden meestal niet tot grote problemen, maar baren wetenschappers wel zorgen vanwege de potentiële impact op het dagelijks leven.

In totaal zijn 75 gevallen van gps-verstoring onderzocht, waarvan de eerste plaatsvond in oktober 2019, een maand na de lancering van de eerste operationele satelliet binnen het Russische EKS-programma. Het meest recente incident dateert van midden februari dit jaar. Volgens Bart Hendrickx, docent Russisch aan de UGent en onderzoeker van het Russische ruimteprogramma, wijst de brede geografische spreiding van de storingen erop dat ze afkomstig zijn uit de ruimte.

In minstens drie gevallen konden de onderzoekers de storingen direct linken aan de Russische satelliet Cosmos 2546. Het onderzoek suggereert dat alle verstoringen veroorzaakt lijken te worden door eenzelfde type signaal. Hierdoor sluiten de experts niet uit dat ook andere satellieten binnen het EKS-netwerk dergelijke signalen uitzenden, hoewel hierover nog onvoldoende gedetailleerde data beschikbaar is.

De impact blijft vooralsnog beperkt, omdat moderne navigatiesystemen bij korte onderbrekingen kunnen terugvallen op de laatst bekende locatie of op een reservesignaal. Desondanks is de aard van de storingen opvallend, want ze lijken zeer precies en doelgericht. Waar opzettelijke verstoringen (jamming) vaak als willekeurige ruis verschijnen, is dit signaal duidelijk gestructureerd en zorgvuldig ontworpen, zo constateerden de Spaanse gps-experts. Jamming omvat het uitzenden van een sterk signaal op dezelfde frequentie als het gps-signaal, waardoor ontvangers het oorspronkelijke signaal niet correct kunnen oppikken.

Het motief van Rusland voor deze verstoringen blijft onduidelijk. Onderzoekers speculeren dat het om een test van wapentechnologie kan gaan, gericht op grootschalige verstoring van gps-signalen. De onzekerheid over de intentie baart de onderzoekers van de Universiteit van Texas zorgen. Bart Hendrickx benadrukt dat, ondanks de betrokkenheid van Rusland, niet direct kan worden aangenomen dat de storingen opzettelijk zijn. Hij vindt het tevens vreemd dat de Cosmos 2546, die is ontworpen om kernraketten op te sporen, zou worden ingezet voor elektronische oorlogsvoering.

De incidenten leggen een grotere kwetsbaarheid bloot, namelijk de enorme afhankelijkheid van gps-technologie. Een grootschalige verstoring kan het alledaagse leven grondig ontregelen, met gevolgen voor navigatie, luchtvaart, scheepvaart en telecommunicatie. De bevindingen van de wetenschappers zijn bevestigd door een bron binnen de Amerikaanse luchtmacht aan The New York Times. De Europese Unie onderzoekt de zaak, maar de resultaten blijven vooralsnog geheim. Rusland heeft niet gereageerd op de beschuldigingen.

Bron: Universiteit van Texas | Bron 2: arxiv.org

Rusland heeft zijn geavanceerde digitale surveillancesysteem, bekend als SORM (System for Operative Investigative Activities), verder geüpgraded met nieuwe regelgeving. Deze aanpassingen, eind mei gepubliceerd door het Russische Ministerie van Digitale Ontwikkeling, zijn gericht op het versnellen, automatiseren en beter integreren van het systeem binnen de internetinfrastructuur van het land. SORM biedt Russische veiligheids- en inlichtingendiensten al decennia toegang tot telefoongesprekken, internetverkeer en andere elektronische communicatie op binnenlandse netwerken.

De bijgewerkte technische standaarden specificeren nu hoe informatie moet worden gezocht, verwerkt en verzonden, wat verder gaat dan de eerdere algemene vereiste dat operators SORM-apparatuur moesten installeren en toegang moesten verlenen wanneer daarom werd gevraagd. Dit stelt de autoriteiten in staat om een breder scala aan doorzoekbare data binnen het systeem te benutten. Hiertoe behoren volledige namen, paspoortinformatie, belastingidentificatienummers, adressen, gebruikersnamen, domeinen, URL's, bedrijfsgegevens, apparaatidentificatiegegevens en geografische coördinaten.

Volgens Timofei Dubrovskikh, een onderzoeker bij de digitale rechtenorganisatie RKS Global, ligt de voornaamste waarde van SORM niet zozeer in het onderscheppen van de inhoud van communicatie, maar in het vermogen om uitgebreide digitale profielen te construeren. Deze profielen verbinden telefoonnummers, simkaarten, apparaten, IP-adressen, gebruikersaccounts en locaties tot één doorzoekbaar netwerk. Het uiteindelijke doel is om snel verbanden te leggen tussen individuen, apparaten, netwerken, accounts en online activiteiten.

Het Ministerie van Digitale Ontwikkeling rechtvaardigt de nieuwe regels met de noodzaak om de nationale veiligheid te ondersteunen. Digitale rechtenorganisaties waarschuwen echter dat deze wijzigingen de toch al verreikende mogelijkheden van de overheid om digitale activiteiten te monitoren verder zullen versterken. Natalia Krapiva, senior tech counsel bij Access Now, stelt dat de nieuwe vereisten bedoeld lijken te zijn om de perceptie te versterken dat online activiteiten voortdurend worden gecontroleerd. Dit moedigt zelfcensuur aan en stelt de autoriteiten in staat om dissidentie te identificeren zonder grootschalige internetonderbrekingen, die onder de bevolking impopulair zijn gebleken.

De regelgeving heeft ook gevolgen voor de Russische telecommunicatiemarkt. Naleving van de SORM-vereisten vraagt van providers aanzienlijke investeringen in gespecialiseerde hardware, opslagsystemen en dedicated communicatie-infrastructuur. Dit kan miljoenen roebels kosten en treft vooral kleinere internetproviders zwaar. Krapiva verwacht dat dit de consolidatie rond grotere, staatsgebonden operators zal versnellen, wat de concurrentie vermindert en de controle van het Kremlin over de sector vergemakkelijkt. Non-compliance kan leiden tot licentieproblemen, toezicht, vertragingen in netwerkgoedkeuringen en andere administratieve sancties die het voortbestaan van kleinere providers bedreigen, aldus Dubrovskikh.

De nieuwe SORM-regelgeving strekt zich verder uit dan traditionele telecommunicatiebedrijven. Ze zijn van toepassing op alle "organisatoren van informatieverspreiding" en operators van autonome systemen. Volgens de Russische onafhankelijke nieuwsdienst Meduza kan deze categorie hostingproviders, datacenters, cloudoperators, grote technologiebedrijven, banken, universiteiten en grote bedrijven omvatten die hun eigen internetinfrastructuur beheren. Het systeem is geëvolueerd van het afluisteren van telecomoperators naar het correleren van een web van technische identificatiegegevens, waaronder telefoonnummers, simkaarten, apparaten, IP-adressen, gebruikersaccounts, domeinen, URL's, geolocatiegegevens en abonneeninformatie.

Voor gewone Russische burgers is er weinig praktische mogelijkheid om zich aan de surveillance te onttrekken. Aangezien SORM binnen de telecommunicatie-infrastructuur opereert en niet op de apparaten van gebruikers, kan het niet eenvoudigweg via software-instellingen worden uitgeschakeld. Hoewel VPN's een deel van de browse-activiteit kunnen verbergen voor internetproviders, verbergen ze de aanwezigheid van de VPN-verbinding zelf niet, en metadata en netwerkrelaties blijven zichtbaar voor de autoriteiten. Dubrovskikh concludeert dat de nieuwe regels SORM dichterbij een grootschalige surveillance-infrastructuur brengen, die niet alleen in kaart kan brengen wat mensen online zeggen, maar ook hoe ze verbinding maken, bewegen en interacteren op het internet.

Bron: Russisch Ministerie van Digitale Ontwikkeling | Bron 2: publication.pravo.gov.ru | Bron 3: kommersant.ru

Een eerder ongedocumenteerde cyberespionagegroep, genaamd SiribClone door het Russische cybersecuritybedrijf F6, is sinds de zomer van 2025 actief en richt zich voornamelijk op leden van de Russische strijdkrachten die gestationeerd zijn in grensregio's en gevechtszones. Het hoofddoel van de campagne is het verzamelen van militaire inlichtingen door het stelen van bestanden, het monitoren van communicatie en het verzamelen van gevoelige militaire informatie van Russische troepen die nabij de frontlinie zijn ingezet.

De hackers doen zich voor als vrouwen die op zoek zijn naar romantische relaties, of als vrijwilligers die humanitaire hulp aanbieden. Ze initiëren gesprekken met militairen via Telegram en andere berichtendiensten. Vervolgens overtuigen ze de slachtoffers om malicieuze applicaties te downloaden of hun Telegram-inloggegevens in te voeren op gespoofde websites.

Slachtoffers worden onder verschillende voorwendsels verleid om op malicieuze links te klikken. In sommige gevallen beweren de aanvallers een nieuwe applicatie te hebben ontwikkeld en vragen ze gebruikers deze te testen. In andere scenario's stellen ze voor om intieme foto's uit te wisselen via wat een veilige applicatie voor het delen van foto's lijkt te zijn. In werkelijkheid installeert deze applicatie eerder ongedocumenteerde Android-spyware, die door onderzoekers de naam SafeLoveStealer heeft gekregen. Deze malware is in staat foto's, video's, documenten, locatiegegevens en andere informatie van geïnfecteerde apparaten te stelen. Bovendien stelt het de aanvallers in staat om op afstand de microfoon van het doelwit te activeren en gesprekken op te nemen.

De groep exploiteert ook phishingwebsites die zijn vermomd als loginpagina's van Telegram, uitnodigingen voor Telegram-community's, portals voor medische tests en andere online diensten. Slachtoffers worden gevraagd hun telefoonnummer, Telegram-verificatiecode en wachtwoord voor tweefactorauthenticatie in te voeren, waardoor de aanvallers controle over hun accounts kunnen krijgen en hun communicatie kunnen monitoren.

Naast mobiele spyware heeft de groep ook eerder ongedocumenteerde malware voor desktopcomputers ingezet, genaamd SiribGrabber. Het primaire doel hiervan is het stelen van bestanden van geïnfecteerde systemen. Tijdens een campagne die tussen januari en februari van dit jaar werd gedetecteerd, verstuurden de hackers ZIP-archieven die waren vermomd als documenten gerelateerd aan het leger. Na enkele maanden van ogenschijnlijke inactiviteit dook de groep in mei opnieuw op met nieuwe malware die werd verspreid via een website met een thema rondom de overwinningsdagvieringen in Rusland.

De onderzoekers van F6 ontdekten tevens een intern beheerplatform dat door de hackers wordt gebruikt, genaamd Kontur. Dit platform slaat gestolen Telegram-sessies op en stelt operators in staat om onderschepte berichten te bekijken. Interne notities binnen het platform refereerden aan militaire rangen, eenheidsaanduidingen, locaties en operationele status, wat suggereert dat de campagne voornamelijk bedoeld is voor militaire spionage. Volgens F6 richten de operaties van SiribClone zich op twee doelstellingen, namelijk het verzamelen van technische, geografische en persoonlijke gegevens van geïnfecteerde apparaten, en het verkrijgen van persistente toegang tot Telegram accounts van slachtoffers om communicatie te onderscheppen. De onderzoekers hebben de campagne niet toegeschreven aan een specifiek land of een bekende dreigingsactor.

Bron: F6 | Bron 2: recordedfuture.com

Het Nederlandse kabinet heeft een eerder voornemen om buitenlandse wetenschappers en studenten uitgebreid te screenen, laten varen. Het doel van deze screening was om spionage en diefstal van gevoelige technologische kennis te voorkomen. Echter, een dergelijke brede aanpak blijkt in de praktijk niet haalbaar te zijn.

De regering had plannen om alle buitenlandse academici die toegang zouden krijgen tot potentieel gevoelige technologieën, te onderwerpen aan een uitgebreide veiligheidscheck. Dit initiatief kwam voort uit de groeiende zorgen over staatsgestuurde spionage en de bescherming van Nederlandse kennis en innovatie. Na een diepgaande evaluatie is geconcludeerd dat de logistieke en administratieve last die een dergelijke brede screening met zich mee zou brengen, te groot is voor de uitvoerende instanties en onderwijsinstellingen.

Het kabinet onderzoekt nu alternatieve mogelijkheden om de nationale veiligheid en technologische voorsprong te waarborgen. De focus zal verschuiven naar de haalbaarheid van screening op een kleinere, meer gerichte schaal. Dit betekent waarschijnlijk dat er gekeken wordt naar specifieke risicogebieden, landen van herkomst, of typen kennis die extra bescherming behoeven, in plaats van een generieke aanpak voor alle buitenlandse academici. De exacte invulling van deze nieuwe, beperktere screening moet nog nader worden uitgewerkt.

Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo

Dr. Richard Horne, CEO van het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk, heeft onthuld dat driekwart van de cyberaanvallen op de kritieke infrastructuur van het VK in het afgelopen jaar (tot mei 2026) kan worden toegeschreven aan vijandige statelijke actoren. Deze bevindingen werden gepresenteerd tijdens de jaarlijkse Security Lecture van het Royal United Services Institute (RUSI).

Het NCSC heeft in de genoemde periode meer dan 200 cyberincidenten behandeld die de Britse kritieke nationale infrastructuur en het ondersteunende ecosysteem troffen. Ongeveer 75% van deze incidenten wordt in verband gebracht met statelijke actoren, waaronder Rusland, China en Iran. Dr. Horne benadrukte dat deze vijandige staten steeds vaker de systemen aanvallen die de essentiële diensten van het VK ondersteunen. Hij pleitte ervoor dat cyberbeveiliging niet louter als een te beheren risico moet worden beschouwd, maar als een voortdurende strijd met capabele tegenstanders.

Volgens Dr. Horne is deze strijd niet beperkt tot een afgebakend gebied, maar eerder vergelijkbaar met een voetbal- of basketbalwedstrijd die zich over een breed speelveld uitstrekt, waarbij succes afhangt van de prestaties over het hele veld. Hij onderstreepte de noodzaak van gecoördineerde actie in de "nabije, middellange en verre" cyberruimtes, waarbij in elke ruimte een andere aanpak vereist is.

De NCSC-topman riep "elk bestuurslid en elke leidinggevende, in elke organisatie" op om de cyberweerbaarheid te versterken. Dit dient te gebeuren door te focussen op drie kerncapaciteiten: inzicht in de blootstelling aan dreigingen, het opbouwen van sterkere verdedigingen gebaseerd op bewezen beveiligingsfundamenten, en het waarborgen van de operationele continuïteit en het snelle herstel na een aanval. Dr. Horne merkte op dat nog steeds te veel significante incidenten plaatsvinden omdat de basisbeginselen niet op orde zijn.

Hij benadrukte dat er in deze strijd geen toeschouwers zijn; iedereen is betrokken, van directiekamers tot IT-helpdesks en thuis op de bank. De NCSC-CEO waarschuwde tevens voor de versnelling van dreigingen door vooruitgang in artificiële intelligentie (AI). Het NCSC schat in dat tegen 2028 AI-ondersteunde cybercapaciteiten waarschijnlijk door aanvallers zullen worden gebruikt om bekende kwetsbaarheden in verouderde technologie op grote schaal binnen de kritieke nationale infrastructuur uit te buiten. Het NCSC heeft diverse hulpmiddelen en richtlijnen gepubliceerd om organisaties te helpen AI-gestuurde aanvallen tegen te gaan door nu de basis van hun cyberbeveiliging te verbeteren.

Bron: NCSC

De hoogste Duitse militaire ruimtevaartfunctionaris heeft een ernstige waarschuwing geuit over de mogelijke ontwikkeling door Rusland van technologie om kernwapens in een baan om de aarde te brengen en daar te ontsteken. Dit heeft generaal-majoor Michael Traut, commandant van het Duitse Ruimtecommandao, kenbaar gemaakt in een interview met Politico.

Generaal Traut benadrukte de potentieel desastreuze gevolgen van een dergelijk scenario. Hij stelde dat een kernexplosie in de ruimte wereldwijd ernstige verstoringen zou kunnen veroorzaken in cruciale infrastructuur en militaire systemen die afhankelijk zijn van satellieten. Deze verstoringen zouden niet beperkt blijven tot directe schade, maar kunnen leiden tot langdurige uitval van essentiële diensten.

De commandant waarschuwde specifiek dat bepaalde baanhoogtes na een dergelijke gebeurtenis mogelijk tientallen jaren lang onbruikbaar zouden kunnen worden. Dit zou een enorme impact hebben op communicatie, navigatie, weersvoorspellingen en tal van andere diensten die tegenwoordig onmisbaar zijn en vertrouwen op satellietnetwerken. De afhankelijkheid van zowel civiele als militaire sectoren van ruimtevaartinfrastructuur maakt deze potentiële dreiging bijzonder zorgwekkend voor de mondiale stabiliteit en veiligheid. De mogelijkheid van een dergelijke verstoring onderstreept de kwetsbaarheid van onze technologisch geavanceerde samenleving voor bedreigingen in de ruimte.

Bron: BNR

De Canadese inlichtingendienst (CSIS) heeft met een uniek gerechtelijk bevel twee door buitenlandse entiteiten beheerde botnets ontmanteld. Dit is de eerste keer dat de CSIS haar bevoegdheden voor dreigingsreductie op deze wijze heeft ingezet. Het bevel gaf de dienst toestemming om geïnfecteerde servers, routers voor thuisgebruik en Internet of Things (IoT)-apparaten op Canadees grondgebied te neutraliseren.

De Canadese federale rechtbank publiceerde op 15 juni een geredigeerde versie van de uitspraak. Het bevel, dat op 1 mei 2024 werd verleend en in augustus van dat jaar werd verlengd, stelde de CSIS in staat om botnetgegevens op de geïnfecteerde machines aan te passen, te degraderen en te vernietigen, en de apparaten los te koppelen van de criminele netwerken.

De operatie richtte zich op servers, SOHO-routers (Small Office/Home Office) en diverse IoT apparaten, waaronder Ring deurbellen, beveiligingscamera's, televisies en andere Wi-Fi-compatibele apparaten. Zonder dit gerechtelijk bevel zou de actie van de CSIS waarschijnlijk als computermisbruik onder het Wetboek van Strafrecht zijn beschouwd. Justice Catherine Kane oordeelde dat de dreiging voor de veiligheid van Canada duidelijk en imminent was, en dat de genomen maatregelen noodzakelijk, redelijk en proportioneel waren. De rechtbank benadrukte dat de operatie gericht was op apparaten en niet op individuen; er werden geen gebruikersidentiteiten gezocht, geen inhoud onderschept, en alle incidenteel verzamelde persoonlijke gegevens werden vernietigd.

De botnets fungeerden als relaisnetwerken. Een commandolaag gaf opdrachten, die vervolgens via een laag van geïnfecteerde apparaten werden doorgestuurd. Door verkeer via gekaapte Canadese hardware te routeren, konden buitenlandse staten de indruk wekken van een gewone verbinding, een thuiswerker of een klant van een internetprovider, terwijl ze kritieke infrastructuur, overheidsnetwerken en militaire netwerken verkenden. De eigenaar van een geïnfecteerd apparaat zou hierdoor ten onrechte verantwoordelijk lijken voor verkeer dat zij nooit hadden verzonden. De rechtbank wees de energiesector aan als een van de mogelijke doelwitten en waarschuwde dat de tegenstanders de botnets konden inzetten om Canadese infrastructuur te verkennen en potentieel te verstoren.

Hoewel de uitspraak de 'wat', twee buitenlandse tegenstanders en een duidelijke dreiging voor Canada's veiligheid, vaststelt, blijft de 'wie' geredigeerd. De timing en de techniek komen overeen met eerdere operaties begin 2024. De publicatie "The Bureau", die de uitspraak boven water bracht, kon uit de geredigeerde redenen niet afleiden of de twee botnets beide Chinees, Russisch, of een combinatie daarvan waren.

Deze Canadese actie vertoont overeenkomsten met eerdere, door de rechtbank bevolen botnet-opruimacties in de Verenigde Staten. In december 2023 gebruikte de FBI de commandokanalen van een botnet om KV-malware voor botnet te verwijderen van honderden Amerikaanse SOHO-routers, voornamelijk verouderde Cisco en NetGear apparaten. Deze werden door de aan China gelinkte groep Volt Typhoon gebruikt om toegang te verbergen die was voorbereid op een mogelijke crisis binnen Amerikaanse communicatie-, energie-, water- en transportsystemen. Weken later voerde de FBI een vergelijkbare operatie uit tegen een afzonderlijk netwerk van Ubiquiti-routers, dat door de Russische GRU, de APT28-groep, was omgezet in een spionagerelais.

Het Canadese cybercentrum had zich aangesloten bij de geallieerde waarschuwingen over statelijke actoren die SOHO- en IoT-apparatuur misbruiken. Het verschil tussen de Amerikaanse en Canadese operaties ligt in de autoriteit die het bevel uitvoerde. De Amerikaanse acties waren wetshandhavingsoperaties door de FBI en het Department of Justice onder zoek- en inbeslagnamebevoegdheden. De Canadese operatie werd uitgevoerd door een inlichtingendienst, de CSIS, die dreigingsreductiemaatregelen gebruikte, een bevoegdheid om een dreiging actief te ontwrichten in plaats van alleen inlichtingen te verzamelen, zoals vastgelegd in de CSIS-wet en herzien in de Nationale Veiligheidswet van 2017.

De belangrijkste les voor verdedigers blijft dat botnets gedijen op onbeheerde apparatuur, verouderde routers die nog steeds in het netwerk zijn opgenomen, IoT-kits die nooit hun laatste firmware-update hebben ontvangen, en alles wat met standaardinloggegevens en een beheerderspaneel naar het internet is gericht. Een overheidsopruimactie pakt deze fundamentele zwakheden niet aan. Bij de Amerikaanse operaties werd de malware verwijderd, maar de kwetsbaarheden bleven bestaan, waardoor een reboot of fabrieksreset de fix ongedaan kon maken en de deur opnieuw kon openen voor herinfectie. Het is de verantwoordelijkheid van de eigenaar om verouderde hardware buiten gebruik te stellen en de resterende apparaten te beveiligen.

Bron: canada.ca

Anthropic heeft de Chinese tech- en e-commercegigant Alibaba formeel beschuldigd van het orkestreren van een grootschalige, ongeautoriseerde extractiecampagne gericht op zijn Claude AI model. Het bedrijf omschrijft dit als de grootste bekende distillatieaanval in zijn geschiedenis.

In een brief van 10 juni 2026, gericht aan de voorzitter van de Amerikaanse Senaatscommissie voor Bankzaken, Tim Scott, en het lid van de oppositie, Elizabeth Warren, beweerde Anthropic dat operatoren die gelieerd zijn aan Alibaba en zijn AI-onderzoeksdivisie, Alibaba Qwen, een gecoördineerde campagne uitvoerden om illegaal capaciteiten van zijn Claude AI model te oogsten.

De campagne liep van 22 april tot 5 juni 2026 en genereerde meer dan 28,8 miljoen uitwisselingen met Claude via bijna 25.000 frauduleuze accounts. De operatie was specifiek gericht op Claude's meest geavanceerde en commercieel waardevolle capaciteiten, waaronder software-engineering en agentic reasoning, de hoekstenen van Anthropic's geavanceerde Mythos Preview-model.

De aanval maakte gebruik van een techniek die bekend staat als "adversarial distillation", een methode waarbij een minder capabel AI model wordt getraind op de outputs van een krachtiger model om diens capaciteiten na te bootsen tegen een fractie van de ontwikkelingskosten. Anthropic waarschuwde dat dit proces Chinese AI-laboratoria in staat stelt om toonaangevende Amerikaanse AI-capaciteiten te repliceren zonder de enorme R&D- en computationele uitgaven te maken die nodig zijn om modellen vanaf nul te trainen.

In zijn brief schreef Anthropic: "Deze distillatieaanvallen worden onwettig, systematisch en op industriële schaal uitgevoerd om Amerikaanse AI-capaciteiten van grensverleggende labs te oogsten en deze als hun eigen te verpakken zonder de trainings- en R&D-kosten te dragen die nodig zijn om Amerikaanse grensverleggende modellen te trainen." Bloomberg was de eerste die over deze brief berichtte.

Anthropic waarschuwde verder dat AI-systemen die via deze adversarial distillation-methode zijn gebouwd, vaak veiligheidsmaatregelen missen, wat bredere veiligheids- en beveiligingsrisico's met zich meebrengt, naast diefstal van intellectueel eigendom. Dit is geen geïsoleerd incident. In februari 2026 had Anthropic al een afzonderlijk plan onthuld waarbij DeepSeek, de Chinese AI-startup wiens goedkope model begin 2025 de wereldwijde techmarkten opschudde, samen met twee andere Chinese AI-laboratoria probeerde om illegaal toegang te krijgen tot Claude's platform.

Eerder deze maand kondigde het bedrijf aan dat het een directief had ontvangen van de Trump-administratie. Dit directief vereist dat zij iedereen van buiten de VS, inclusief hun eigen werknemers die geen Amerikaanse burgers zijn, de toegang tot hun nieuwste modellen, Claude Fable 5 en Mythos 5, ontzeggen. Anthropic beschrijft dit patroon nu als "systematische en ongeautoriseerde" exploitatie van leidende Amerikaanse AI modellen om een rivaliserende generatie Chinese chatbots te bouwen.

De onthulling leidt al tot wetgevende actie op Capitol Hill. Senatoren Bill Hagerty (R-TN) en Andy Kim (D-NJ) zijn bezig met het indienen van een amendement op essentiële defensiewetgeving dat elke Chinese firma die onrechtmatig toegang krijgt tot outputs van Amerikaanse AI modellen om concurrerende systemen te trainen, op een zwarte lijst zou plaatsen of zou sanctioneren. Alibaba heeft nog niet gereageerd op verzoeken om commentaar. De escalerende confrontatie over diefstal van AI modellen duidt op een verdieping van de technologische en geopolitieke kloof tussen de Amerikaanse en Chinese AI-sectoren, waarbij de beveiliging van grensverleggende modellen nu stevig in het vizier van het nationale veiligheidsbeleid ligt.

Bron: Bloomberg

De Amerikaanse federale recherche (FBI) en het Cybersecurity and Infrastructure Security Agency (CISA) hebben een waarschuwing afgegeven over een geëvolueerde phishingcampagne die Signal-gebruikers viseert. Deze campagne, gekoppeld aan Russische inlichtingendiensten, richt zich nu op het stelen van Signal Backup Recovery Keys, waardoor aanvallers toegang kunnen krijgen tot historische berichten van slachtoffers. Dit is een actualisering van een eerder advies uit maart 2026, waarin al werd gewaarschuwd voor het kapen van accounts via phishing, in plaats van het doorbreken van de end-to-end encryptie.

Volgens een vandaag gepubliceerde FBI Public Service Announcement (PSA) blijven cyberdreigingsactoren van de Russische inlichtingendiensten (RIS) zich voordoen als geautomatiseerde supportaccounts van commerciële berichtendiensten. De tactiek is echter verfijnd om gebruikers hun Backup Recovery Keys te ontfutselen. De campagne richt zich specifiek op personen met een hoge inlichtingenwaarde, waaronder huidige en voormalige Amerikaanse en internationale overheidsfunctionarissen, militair personeel, politieke figuren, journalisten en belangrijke functionarissen in Oekraïne. De activiteiten worden toegeschreven aan RIS, inclusief officieren die zijn ingebed bij de grenswacht van de Russische Federale Veiligheidsdienst (FSB) en andere actoren die namens het Russische leger opereren. De campagne staat publiekelijk bekend als UNC5792 en UNC4221.

De nieuwe phishingtactiek om Signal-backups te stelen wijkt af van de eerdere aanpak, die zich richtte op het stelen van verificatiecodes, account-PINs of het misleiden van gebruikers om door aanvallers gecontroleerde apparaten aan hun Signal accounts te koppelen. Nu sturen de dreigingsactoren phishingberichten die zich voordoen als Signal-ondersteuning. Zij beweren onterecht dat Signal verplichte tweefactorverificatie introduceert naar aanleiding van een vermeende golf van aanvallen door hackers uit Iran en post-Sovjetlanden.

Het initiële phishingbericht luidt: "Recentelijk zijn pogingen om gebruikers van onze messenger te hacken met de koppeling van externe apparaten aan het account vaker voorgekomen. Een onderzoek uitgevoerd in samenwerking met de regering van de VS en Europese partners heeft uitgewezen dat de aanvallen op accounts werden uitgevoerd door hackers uit Iran en post-Sovjetlanden. In dit verband werkt Signal de Servicevoorwaarden en het Privacybeleid bij en introduceert het verplichte tweefactorverificatie voor gebruikers."

De berichten instrueren slachtoffers vervolgens om hun Signal-backup in te stellen via de instellingen ("Instellingen -> Backups -> Backups inschakelen -> Herstelsleutel bekijken -> Kopiëren naar klembord -> Volgende -> Herstelsleutel invoeren -> Volgende -> Doorgaan -> Kies uw backupplan"). Wanneer een slachtoffer deze instructies volgt, worden hun Signal-berichten geback-upt met behulp van Signal's Secure Backups-functie, die versleutelde kopieën van gesprekken opslaat op de cloudservers van Signal. Deze gegevens zijn end-to-end versleuteld met de herstelsleutel, die nooit aan derden mag worden gegeven, aangezien iedereen met de sleutel de geback-upte gegevens op zijn eigen apparaten kan herstellen.

Vervolgens sturen de dreigingsactoren een tweede phishingbericht, nog steeds onder de dekmantel van Signal-ondersteuning, waarin wordt gewaarschuwd voor een risico op permanent gegevensverlies door een synchronisatieprobleem. De aanvallers vragen het slachtoffer om naar de backup-instellingen te gaan, de herstelsleutel naar het klembord te kopiëren en deze in het bericht te plakken om verlies van opgeslagen gegevens te voorkomen. Zodra de herstelsleutel is verstrekt, kunnen de aanvallers de backup op hun eigen apparaten herstellen en toegang krijgen tot de historische berichten van het slachtoffer, inclusief privé- en groepsgesprekken.

De bijgewerkte waarschuwing benadrukt ook een belangrijk herstelscenario dat gebruikers mogelijk over het hoofd zien na een compromittering van hun account. Als een aanvaller de Backup Recovery Key van een gebruiker verkrijgt, maakt het aanmaken van een nieuw Signal account met hetzelfde telefoonnummer de gestolen sleutel niet ongeldig. Gebruikers moeten een nieuwe Backup Recovery Key genereren via de backup-instellingen van Signal. Dit maakt de vorige sleutel ongeldig voor toekomstige backup-downloads, maar voorkomt niet dat aanvallers toegang krijgen tot backups die ze al hebben gedownload met de gecompromitteerde sleutel.

De FBI en CISA herinneren gebruikers eraan dat legitieme ondersteuningsteams van berichttoepassingen alleen communiceren via officiële bedrijfs-e-mailadressen, nooit verificatiecodes binnen de applicatie vragen en geen links sturen die gebruikers vragen hun accounts te verifiëren of te herstellen. Slachtoffers van deze campagne worden aangemoedigd om incidenten te melden bij het Internet Crime Complaint Center (IC3) van de FBI, een lokaal FBI-kantoor of CISA.

Bron: FBI | Bron 2: myservices.cisa.gov | Bron 3: ic3.gov

De Oekraïense veiligheidsdienst (SBU) heeft, in samenwerking met de Amerikaanse federale recherche (FBI), een langdurige Russische campagne blootgelegd die gericht is op het compromitteren van accounts voor berichtendiensten. Deze campagne viseerde overheidsfunctionarissen, militair personeel, politici en activisten in Oekraïne, Europa en de Verenigde Staten. Het primaire doel van de aanvallers was het verkrijgen van toegang tot gevoelige militaire, politieke en economische informatie die via deze applicaties werd uitgewisseld, alsook het stelen van persoonlijke gegevens van de slachtoffers.

De SBU benadrukt dat de aanvallers voornamelijk gebruikmaakten van technieken via social engineering, in plaats van kwetsbaarheden in de berichtendiensten zelf te exploiteren. Een veelvoorkomende methode omvatte het versturen van sms berichten die zich voordeden als officiële ondersteunende diensten van de betreffende platformen. Gebruikers werden hierin aangespoord om hun accountgegevens, zoals inloggegevens en eenmalige verificatiecodes, prijs te geven. De SBU merkte op dat deze berichten vaak in de ochtenduren werden verstuurd, een periode waarin gebruikers mogelijk kwetsbaarder zijn door hun fysieke en emotionele gesteldheid.

Volgens de Oekraïense veiligheidsdienst waren Russische inlichtingendiensten en aan hen gelieerde hackers verantwoordelijk voor deze aanvallen. De doelwitten waren breed en omvatten overheidsinstellingen, publieke functionarissen, activisten en gewone Oekraïense burgers. Specifieke details, zoals de naam van de verantwoordelijke Russische inlichtingendienst, de primair getargete berichtendiensten of het exacte aantal slachtoffers, werden niet door de SBU bekendgemaakt. De FBI heeft nog niet gereageerd op een verzoek om commentaar.

Deze waarschuwing van de SBU volgt op eerdere onthullingen door Oekraïense en Westerse inlichtingendiensten over Russische pogingen om beveiligde berichtendiensten te compromitteren die worden gebruikt door overheids- en militair personeel. Eerder dit jaar waarschuwden Nederlandse inlichtingendiensten al voor een wereldwijde campagne van Russische staatshackers om Signal- en WhatsApp-accounts van overheidsfunctionarissen, diplomaten en militair personeel te kapen. Ook toen deden de aanvallers zich voor als medewerkers van de klantenservice om slachtoffers te verleiden tot het delen van eenmalige verificatiecodes of pincodes.

Oekraïne heeft in het verleden vaker melding gemaakt van Russische spionageoperaties gericht op berichtendiensten die door het leger worden gebruikt. Deze omvatten campagnes waarbij malware voor datadiefstal werd ingezet en pogingen om versleutelde Telegram- en Signal-communicatie te extraheren van mobiele telefoons die op het slagveld waren buitgemaakt. De aanhoudende dreiging onderstreept het belang van waakzaamheid bij het gebruik van digitale communicatiemiddelen, vooral voor personen in gevoelige posities.

Bron: t.me | Bron 2: recordedfuture.com

De Amerikaanse Federal Communications Commission (FCC) heeft donderdag gestemd voor een aanzienlijke aanscherping van het toezicht op onderzeese internetkabels, die bijna al het wereldwijde internetverkeer verwerken. De nieuwe regels zijn gericht op het blokkeren van Chinese bedrijven bij de verkoop van gerelateerde producten en het versnellen van goedkeuringen voor Amerikaanse technologiebedrijven die aan specifieke voorwaarden voldoen.

Een belangrijke, ongekende stap is het plan van de FCC om een licentieplicht in te voeren voor eigenaren en exploitanten van 'Submarine Line Terminal Equipment' (SLTE). SLTE speelt een cruciale rol in onderzeese kabel systemen door deze te verbinden met Amerikaanse landfaciliteiten. Deze licentieplicht moet het toezicht van de FCC op een van de meest kwetsbare delen van de onderzeese kabelnetwerken waarborgen, aldus een persbericht van de organisatie.

De technologie sector heeft al langer aangedrongen op een gestroomlijnder proces en snellere doorlooptijden voor de aanleg van aanvullende kabel systemen. Deze zijn nodig vanwege de exponentiële groei van internetverkeer en de opkomst van kunstmatige intelligentie, die een grotere infrastructuur vereisen. De nieuwe regels zullen kabel exploitanten die hoge beveiligingsstandaarden kunnen certificeren, kabels "zonder incident" hebben geëxploiteerd en instemmen met voortdurend toezicht, vrijstellen van een intensieve goedkeuringsprocedure. Deze vrijgestelde exploitanten moeten ook beloven geen potentieel onveilige buitenlandse apparatuur te gebruiken.

De herziene regelgeving zal ook de kabels beveiligen door bescherming te actualiseren die "kwetsbaarheden met betrekking tot hoofduitrusting, externe dienstverleners en andere zorgpunten aanpakt", zo vermeldt het persbericht. De FCC werkt al langer aan het versterken van de beveiliging van onderzeese internetkabels en blokkeerde vorig jaar al bedrijven die als nationaal veiligheidsrisico werden geïdentificeerd, zoals Huawei, China Telecom, ZTE en China Mobile, van het leveren van apparatuur. De nieuwe regels gaan nog verder door apparatuur uit heel China of enig ander land dat als buitenlandse tegenstander wordt beschouwd, te verbieden.

De FCC kondigde in juli 2025 al aan Chinese bedrijven van deze markt te willen weren. Destijds stelde de FCC dat het verbod een onderdeel zou zijn van een reeks beleidsmaatregelen om de uitbreiding van onderzeese telecommunicatie-infrastructuur te stimuleren, terwijl tegelijkertijd "firewalls" werden versterkt om te waken tegen "dreigingen van buitenlandse tegenstanders". Voorzitter Brendan Carr verklaarde destijds dat onderzeese kabelinfrastructuur de afgelopen jaren is bedreigd door buitenlandse tegenstanders zoals China, en dat actie wordt ondernomen om deze te beschermen tegen eigendom, toegang en cyber- en fysieke dreigingen.

Spionage wordt door functionarissen beschouwd als de grootste dreiging van de betrokkenheid van China in de onderzeese kabel sector. De Amerikaanse regering worstelt nog steeds met de "Salt Typhoon-hacks", die meer dan een jaar na hun ontdekking eind 2024 nog steeds een probleem vormen. Ook Taiwan heeft aangegeven dat China zijn onderzeese kabels bedreigt. In de Oostzee zijn fysieke beschadigingen aan kabels meermaals voorgekomen.

Voorzitter Carr benadrukte dat onderzeese kabels de "onbezongen helden van het wereldwijde internet" zijn, die tot 99% van het wereldwijde internetverkeer dragen. Hoewel snellere aanleg de betrouwbaarheid en snelheid van het internet verhoogt, vooral met de enorme eisen die AI stelt aan connectiviteit, ligt zijn focus op het beter beschermen van dit zeer kwetsbare systeem. Hij waarschuwde dat "onderzeese kabels grotere dreigingen dan ooit tevoren" tegemoet zien, waarbij "slechte actoren toegang zoeken tot gevoelige data en communicatie die via deze kabels lopen, en dreigingen van cyber- of fysieke verstoringen alleen maar toenemen."

In april onthulde de Britse regering dat zij een geheime Russische onderzeebootoperatie had ontdekt rond kabels en pijpleidingen in de oceaan nabij het noordelijke deel van het Verenigd Koninkrijk. Een Russische aanvalsonderzeeboot en andere vaartuigen waren betrokken bij wat het Britse Ministerie van Defensie "kwaadaardige activiteiten boven kritieke onderzeese infrastructuur elders" noemde. Na de ontdekking van hun aanwezigheid door het Verenigd Koninkrijk, trokken de Russen zich terug, aldus functionarissen.

Bron: FCC | Bron 2: recordedfuture.com

Russische autoriteiten hebben in juni 2021 Cellebrite's UFED forensische tools ingezet om toegang te krijgen tot de iPhone van de vastgehouden oppositieactivist Andrey Pivovarov. Dit gebeurde drie maanden nadat Cellebrite had aangekondigd de verkoop van zijn tools en diensten aan Rusland en Wit-Rusland stop te zetten. De bevindingen, gepubliceerd op 25 juni door het Citizen Lab, zijn gebaseerd op sporen die op de telefoon zelf zijn aangetroffen en een officieel Russisch overheidsrapport waarin de tool wordt genoemd.

Onderzoekers zochten in de geëxtraheerde data naar politieke contacten, oppositiefiguren en namen van activistische organisaties. Het ging hier niet om externe spyware, maar om een forensische tool die op een in beslag genomen apparaat in bewaring werd gebruikt om een zaak op te bouwen in een politieke vervolging. Pivovarov was de leider van "Open Russia", een oppositiegroep die door het Kremlin als "ongewenst" was bestempeld, wat verdere betrokkenheid strafbaar maakte.

Pivovarov werd op 31 mei 2021 van een vlucht gehaald op het vliegveld van Sint-Petersburg, waarna zijn iPhone 12 en MacBook in beslag werden genomen. Hij gaf nooit toestemming voor een zoekactie en overhandigde zijn wachtwoorden niet. De apparaten bleven tot 2023 in hechtenis. In juli 2022 werd hij veroordeeld tot vier jaar gevangenisstraf en in augustus 2024 kwam hij vrij middels een gevangenenruil.

In de herfst van 2025 gaf Pivovarov zijn telefoon aan onderzoekers van het Citizen Lab. Sporen op het apparaat dateren uit 2021, toen de telefoon in Russische hechtenis was. MobileLockdown-records, die de vertrouwde USB-koppelingen van een iPhone bijhouden, toonden op 17 juni 2021 een verbinding met een host-ID die overeenkwam met een Cellebrite-vingerafdruk die de onderzoekers in een eerdere zaak in Jordanië hadden geïdentificeerd. Dit wordt beschouwd als zeer betrouwbaar bewijs dat Cellebrite's UFED werd gebruikt.

Russische documenten ondersteunen de forensische leesactie. Pivovarov ontving in de loop van zijn vervolging een rapport getiteld "Forensisch Expertrapport nr. 1269-17", opgesteld voor het Russische Onderzoekscomité door het forensische centrum van het Ministerie van Binnenlandse Zaken. Een kopie van dit rapport werd door Pivovarov aan het Citizen Lab verstrekt. Het rapport noemt specifiek Cellebrite's UFED Physical Analyzer en UFED 4PC. Het documenteert het extraheren van gegevens uit WhatsApp, Telegram en Viber, en toont aan dat onderzoekers zochten naar "Open Russia Civic Movement" en naar genoemde oppositiefiguren, waaronder Mikhail Khodorkovsky, advocaat Anastasiya Burakova en Pivovarov's partner Tatiana Usmanova. De MacBook bleef versleuteld; het MVD-rapport beschrijft een mislukte extractie, geblokkeerd door encryptie, en het Citizen Lab vond overeenkomstige mislukte inlogpogingen op dezelfde datum, wat aangeeft dat de autoriteiten Pivovarov's wachtwoord nooit hebben gehad.

De timing is cruciaal. Cellebrite kondigde in maart 2021 aan de verkoop aan Rusland en Wit-Rusland te stoppen, een stap die updates stopte maar bestaande hardware operationeel liet. Veel UFED-functionaliteit blijft offline werken lang nadat de ondersteuning is beëindigd, aldus het Citizen Lab. Dit is het zwakke punt van de verkoopstop: het risico betrof niet alleen toekomstige verkopen, maar ook de reeds geïnstalleerde basis in politie- en inlichtingendiensten. Dit komt overeen met eerdere rapporten dat Rusland Cellebrite bleef gebruiken op telefoons van gedetineerden na de aankondiging.

Op 22 juni verklaarde Cellebrite aan het Citizen Lab en Access Now dat elk gebruik van zijn oudere hardware in Rusland na maart 2021 "volledig ongeautoriseerd" is. Het bedrijf stelde dat deze hardware werkt zonder zijn ondersteuning of toestemming en vandaag de dag incompatibel zou zijn met moderne apparaten. Rusland blijft permanent op de lijst van beperkte klanten van het bedrijf, en Cellebrite stapt over op abonnementlicenties die na afloop niet meer werken. Dit onderscheid is juridisch belangrijker dan operationeel, aangezien de tool nog steeds werkte toen Russische onderzoekers de telefoon in 2021 in handen hadden.

Een opmerkelijke overeenkomst is dat de namen van de personen die op Pivovarov's telefoon werden doorzocht, later opdoken als doelwitten van COLDRIVER, een aan de FSB gelinkte phishing-operatie. Burakova was een van de doelwitten, maar trapte er niet in. Het Citizen Lab claimt geen direct verband, maar het mechanisme is duidelijk: extraheer de sociale kring van één activist en je hebt de doellijst voor de volgende campagne.

Het advies van Citizen Lab voor iedereen die risico loopt op inbeslagname is duidelijk, hoewel geen enkele maatregel volledig waterdicht is tegen forensische tools. Gebruik een sterk alfanumeriek wachtwoord. Houd het besturingssysteem up-to-date. Schakel de Lockdown Mode in op iPhones of Advanced Protection op Android 16 en hoger. Versleutel de schijf op computers. Schakel het apparaat volledig uit voordat u een risicovolle situatie ingaat. Als een in beslag genomen apparaat wordt teruggegeven, wijzig dan elk accountwachtwoord en laat het onderzoeken voordat u het wist. Rusland voegt zich bij Servië, Kenia en Jordanië in een groeiende lijst van Cellebrite-misbruikzaken die door forensisch onderzoek zijn onderbouwd. De scherpere les is smaller: een verkoopstop die oude, offline-capabele tools operationeel laat, is niet veel van een stop zodra de telefoon al in een detentiecel ligt.

Bron: Citizen Lab | Bron 2: cellebrite.com | Bron 3: haaretz.com

De Veiligheidsdienst van Oekraïne (SSU) heeft, in samenwerking met de Amerikaanse Federal Bureau of Investigation (FBI), een langdurige campagne blootgelegd die is georkestreerd door Russische inlichtingendiensten. Deze campagne was gericht op het inbreken in berichtenaccounts van overheidsfunctionarissen, militair personeel, politici en activisten in Oekraïne, Europa en de Verenigde Staten. Het systematische karakter van de cyberaanvallen was gericht op het stelen van gevoelige informatie van de slachtoffers.

De SSU waarschuwde via een Telegram-bericht dat het doel van deze 'hacks' is om toegang te verkrijgen tot gevoelige militaire, politieke en economische informatie die door gebruikers wordt uitgewisseld, alsook om hun persoonlijke gegevens te stelen. Om deze operatie uit te voeren, versturen de aanvallers SMS-berichten die zich voordoen als de ondersteuningsbot van het berichtenplatform. Deze berichten dringen er bij gebruikers op aan om hun accountgegevens te onthullen.

De SSU merkte op dat deze aanvallen niet alleen organisaties, functionarissen of publieke figuren omvatten, maar ook persoonlijke accounts die toebehoren aan Oekraïense staatsburgers. De dienst schreef de campagne niet toe aan een specifieke hackgroep. Echter, vergelijkbare aanvalsgolven die rechtstreeks gericht waren op gebruikers van de berichtenapps Signal en WhatsApp zijn eerder toegeschreven aan Russische dreigingsclusters die bekendstaan als Star Blizzard, UNC5792 (ook bekend als UAC-0195) en UNC4221 (ook bekend als UAC-0185).

Om het risico van dergelijke dreigingen tegen te gaan, wordt geadviseerd om periodiek actieve sessies van berichtenapps te controleren en uit te loggen bij onbekende verbindingen. Daarnaast is het belangrijk om twee-factor authenticatie in te schakelen, geen QR-codes te scannen die van onbekende gebruikers zijn ontvangen, geen bevestigingscodes, PIN-codes, wachtwoorden en herstelcodes voor accounts te onthullen, en niet te klikken op verdachte links of bestanden te openen uit onbekende of dubieuze chats.

Deze ontwikkeling volgt op een eerdere toeschrijving door de FBI van cyberdreigingsactoren van de Russische inlichtingendiensten (RIS) aan een lopende phishingcampagne via commerciële berichtenapps (CMA). Deze campagne was gericht op hoogwaardige doelwitten om hen te misleiden en hun herstelcodes voor back-ups te ontfutselen. Eind vorige maand schreef het Computer Emergency Response Team van Oekraïne (CERT-UA) een spearphishingcampagne toe aan de Wit-Rusland-gelieerde dreigingsactor UNC1151 (ook bekend als Ghostwriter en UAC-0057). Deze campagne richtte zich op overheidsorganisaties en gebruikte gecompromitteerde accounts om een informatiedief genaamd OYSTERBLUES te verspreiden.

Bron: CERT-UA | Bron 2: thehackernews.com

Vermoedelijk Russische hackers zijn verantwoordelijk voor de verwoestende cyberaanval die autofabrikant Jaguar Land Rover vorig jaar wekenlang platlegde. Dit blijkt uit een onderzoek van The New York Times. De aanval, die op 31 augustus 2025 begon, legde de productie in de fabrieken bijna zes weken stil. De totale schade voor de Britse economie wordt geschat op ongeveer 2,5 miljard dollar, waarmee het de financieel meest schadelijke cyberaanval in de Britse geschiedenis is.

Microsoft volgde de Russische hackersgroep en waarschuwde Jaguar Land Rover reeds voor de aanval. Bij het uitgebreide onderzoek naar het incident waren diverse vooraanstaande instanties en bedrijven betrokken, waaronder de FBI, het Britse National Crime Agency, het National Cyber Security Centre, Google Mandiant en Palo Alto Networks.

Aanvankelijk eiste een groep die zichzelf 'Scattered Lapsus$ Hunters' noemt de aanval op via Telegram. Het diepgaande onderzoek wijst echter nu naar een afzonderlijke Russische operatie. Onderzoekers konden niet met zekerheid vaststellen of de betrokken hackers rechtstreeks voor de Russische overheid werkten, op eigen houtje als cybercriminelen handelden, of opereerden met stilzwijgende goedkeuring van het Kremlin.

Bron: The New York Times

De Amerikaanse Federal Bureau of Investigation (FBI) en het Cybersecurity and Infrastructure Security Agency (CISA) hebben een gezamenlijke waarschuwing uitgegeven voor aanhoudende phishing aanvallen die gericht zijn op gebruikers van de versleutelde berichtendienst Signal. Het primaire doel van deze aanvallen is het stelen van de recovery key van gebruikers, een essentiële sleutel voor het verkrijgen van toegang tot hun beveiligde back-ups.

Signal biedt zijn gebruikers de mogelijkheid om een 'Secure Backup' te creëren, die beschermd wordt door een unieke recovery key van 64 karakters. Zonder deze specifieke sleutel is het onmogelijk om een back-up te ontsleutelen en de gegevens te herstellen. Een maand geleden werden onderzoekers al geconfronteerd met een vergelijkbare aanvalstechniek.

De phishing aanvallen volgen een uitgekiend patroon. Doelwitten ontvangen eerst een bericht dat ogenschijnlijk afkomstig is van Signal zelf. Dit bericht waarschuwt voor lopende phishing aanvallen op gebruikers van Signal en adviseert hen dringend om een back-up te maken van hun gegevens. Het bericht legt vervolgens stap voor stap uit hoe deze back-up procedure moet worden uitgevoerd. Kort daarna ontvangen de aanvallers een tweede phishing bericht. In dit vervolgbericht wordt, onder het mom van een "synchronisatieprobleem", specifiek gevraagd om de recovery key van de gebruiker.

De FBI benadrukt de kritieke aard van deze key: "Als een slachtoffer per ongeluk zijn Backup Recovery Key deelt, blijft dezelfde key geldig, zelfs als het slachtoffer na een hack een nieuw account met hetzelfde telefoonnummer aanmaakt." Dit betekent dat de aanvallers, eenmaal in het bezit van de key, blijvende toegang kunnen hebben tot back-ups, zelfs bij pogingen van het slachtoffer om zijn account te beveiligen. De opsporingsdienst adviseert gebruikers die slachtoffer zijn geworden onmiddellijk een nieuwe Backup Recovery Key te genereren om verdere ongeautoriseerde toegang te voorkomen.

Volgens de Amerikaanse opsporingsdienst zijn deze aanvallen het werk van Russische inlichtingendiensten, wat duidt op een gecoördineerde en geavanceerde poging tot spionage en datavergaring.

Bron: FBI | Bron 2: ic3.gov