Holenderskie służby AIVD i MIVD ujawniły, że za cyberatakami na policję i instytucje NATO stoi rosyjska grupa hakerska Laundry Bear, prawdopodobnie wspierana przez Kreml. Hakerzy, aktywni od co najmniej 2024 roku, próbowali zdobyć dane o dostawach broni na Ukrainę – podała agencja Reutera.

Holenderskie agencje wywiadowcze AIVD (cywilna) i MIVD (wojskowa) poinformowały, że za cyberatakami na holenderską policję i instytucje NATO stoi rosyjska grupa hakerska Laundry Bear, „najprawdopodobniej wspierana przez państwo rosyjskie”– donosi Reuters, powołując się na komunikat służb.

Grupa, zidentyfikowana po raz pierwszy we wrześniu 2024 roku, odpowiada za włamanie, w wyniku którego skradziono dane kontaktowe 63 tys. holenderskich policjantów, w tym nazwiska, adresy e-mail i numery telefonów – podał portal NL Times.

Według AIVD i MIVD, Laundry Bear, znana także jako Void Blizzard w nomenklaturze Microsoftu, działa co najmniej od początku 2024 roku, atakując rządy, wojsko, dostawców obronnych, organizacje społeczne oraz firmy IT w krajach UE i NATO.

Chcieli się dowiedzieć o zakupach sprzętu

Hakerzy skupiali się na zdobywaniu informacji o zakupie i produkcji sprzętu wojskowego przez Zachód oraz dostawach broni na Ukrainę, co wskazuje na motywy szpiegowskie związane z rosyjskimi interesami strategicznymi.

– Grupa skutecznie uzyskiwała dostęp do wrażliwych danych wielu organizacji na świecie – powiedział wiceadmirał Peter Reesink, dyrektor MIVD.

Ataki Laundry Bear charakteryzują się prostymi, ale trudnymi do wykrycia technikami, takimi jak password spraying, kradzież sesji cookies czy techniki Living-off-the-Land (wykorzystujące narzędzia dostępne w systemach ofiar). Ich metody przypominają działania grupy APT28, powiązanej z rosyjskim GRU, choć AIVD i MIVD podkreślają, że to oddzielne ugrupowanie. W przypadku ataku na policję we wrześniu 2024 roku hakerzy wykorzystali technikę „pass-the-cookie”, używając skradzionych ciasteczek sesyjnych do uzyskania dostępu bez podawania loginu i hasła.

Holenderskie służby poinformowały zaatakowane organizacje i wsparły je w zabezpieczeniach, publikując techniczny raport o metodach Laundry Bear, by ograniczyć skuteczność grupy.

– Świadomie ujawniamy ich taktykę, by zwiększyć odporność sieci cyfrowych – stwierdził Erik Akerboom, szef AIVD. Raport zaleca m.in. stosowanie odpornej na phishing wieloskładnikowej autoryzacji (MFA), silnych haseł i monitorowanie podejrzanych logowań. Służby ostrzegają, że Laundry Bear jest „w fazie rozwoju” i może zwiększyć skalę oraz złożoność ataków, a skradzione dane mogą być użyte do dalszych operacji.

W liście do parlamentu ministrowie Judith Uitermark (AIVD) i Ruben Brekelmans (MIVD) wskazali, że grupa celowała także w firmy produkujące zaawansowane technologie, do których Rosja ma ograniczony dostęp z powodu sankcji nałożonych po inwazji na Ukrainę.

Holenderska Policja zablokowała część infrastruktury hakerskiej, ale brak wystarczających dowodów uniemożliwia ściganie sprawców – poinformował prokurator John Lucas.

Źródło: Reuters