VS inlichtingendiensten hebben gewaarschuwd dat hackers van de Iraanse overheid actief gebruik maken van de berichtenapp van Telegram om te infiltreren en gegevens te stelen van dissidenten, journalisten en oppositiegroeperingen over de hele wereld. De FBI heeft vrijdag een openbare waarschuwing uitgegeven waarin gedetailleerd wordt beschreven hoe deze actoren Telegram gebruiken om malware in te zetten, op afstand toegang te krijgen tot de apparaten van slachtoffers en gevoelige informatie te exfiltreren.
Hoe de aanvallen werken
De operatie verloopt in twee belangrijke fasen. Ten eerste doen hackers zich voor als vertrouwde contacten of technische ondersteuning om doelen te misleiden om kwaadaardige bestanden te downloaden, vermomd als legitieme applicaties (zoals Telegram of WhatsApp zelf). Eenmaal geïnstalleerd, verbindt deze malware de computer van het slachtoffer met op Telegram gebaseerde bots, waardoor de aanvallers het apparaat op afstand kunnen besturen.
Hiermee kunnen hackers bestanden stelen, schermafbeeldingen maken en zelfs privécommunicatie opnemen, zoals Zoom-oproepen.
De aanvallers misbruiken de infrastructuur van Telegram omdat deze kwaadaardige activiteiten binnen het reguliere netwerkverkeer verbergt, waardoor detectie door cyberbeveiligingstools moeilijker wordt. Deze tactiek benadrukt een groeiende trend waarbij cyberactoren hun activiteiten inbedden in veelgebruikte platforms om controle te ontwijken.
Door de staat gesponsorde activiteit
De FBI schrijft deze aanvallen toe aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) en beschouwt ze als onderdeel van een bredere poging om de geopolitieke belangen van het regime te bevorderen. Een gelinkte pro-Iraanse hacktivistische groep, ‘Handala’, heeft de verantwoordelijkheid opgeëist voor recente spraakmakende aanvallen, waaronder een ontwrichtende inbreuk op medisch technologiebedrijf Stryker.
Stryker bevestigde in een SEC-dossier dat het nog steeds herstellende is van de hack, waarbij tienduizenden apparaten van werknemers werden gewist. Het Amerikaanse ministerie van Justitie heeft Handala ervan beschuldigd als dekmantel voor de MOIS te fungeren, wat heeft geleid tot de inbeslagname van websites die gelinkt zijn aan Handala en een andere Iraanse groep, “Homeland Justice”. De FBI beweert dat beide worden gecontroleerd door dezelfde statelijke actoren.
Reactie van Telegram
Telegram-woordvoerder Remi Vaughn verklaarde dat het platform actief accounts verwijdert die betrokken zijn bij de verspreiding van malware. Het voortdurende gebruik van de dienst door deze actoren toont echter de uitdagingen aan die het toezicht op dergelijke activiteiten op grote schaal met zich meebrengt.
Het incident onderstreept de evoluerende aard van door de staat gesponsorde cyberoorlogvoering, waarbij ogenschijnlijk onschadelijke platforms zoals Telegram worden ingezet om spionage en verstoring te vergemakkelijken. De waarschuwing van de FBI herinnert ons eraan dat gebruikers waakzaam moeten blijven tegen social engineering-tactieken en ongeoorloofde softwaredownloads.
