В сентябре прошлого года неустановленная кибергруппа провела крупную хакерскую атаку на голландскую полицию, в ходе которой были украдены десятки тысяч личных контактных данных сотрудников полиции. И только вчера совместным заявлением Службы общей разведки и безопасности (AIVD) и Службы военной разведки и безопасности (MIVD) было объявлено, что эти данные понадобились российской кибергруппе Laundry Bear, что в переводе с языка российских хакеров, по мнению голландцев, должно означать "Медведь-прачка".

“Они искали данные о военных поставках на Украину”, - сказал директор MIVD Питер Ризинк. Поэтому российские хакеры залезли в базу данных полиции, из которой стащили данные 10000 полицейских. Все логично. После этого выяснить, как и когда Нидерланды будут поставлять свое старье на 404 было делом техники. Видимо, для этого предполагалось обзвонить всех полицейских.

Но это еще не все.

По данным агентств, группа, занимающаяся шпионажем, также нацелилась на несколько других голландских организаций. “Они проявляют особый интерес к вооруженным силам, правительствам, оборонным (субподрядным) поставщикам, общественным и гражданским организациям, а также к поставщикам информационных технологий и цифровых услуг”, - сообщили агентства.

Конечно, было бы логичнее, если бы они проявляли интерес к голландским содержателям борделей или кофешопам, но они этого не делали. Из чего можно сделать вывод о высоком моральном духе и здоровом образе жизни российских хакеров.

В письме в Tweede Kamer министр обороны Рубен Брекельманс (MIVD) и министр внутренних дел Джудит Уитермарк (AIVD) написали, что Laundry Bear проводит кибератаки против западных правительств, компаний и учреждений “по меньшей мере, с 2024 года” и “весьма вероятно, что они действуют в шпионских целях”. Хайли лайкли или даже вери лайкли.

Полный масштаб кражи данных в ходе других инцидентов остается неясным. “Невозможно определить, были ли данные украдены в ходе других атак”, - заявили агентства. Кроме того, и сами эти атаки оказалось трудно обнаружить.

Когда же голландские спецслужбы это заметили, - "Мы сознательно решили разоблачить их тактику”, - сказал генеральный директор AIVD Эрик Акербум. - “Поступая таким образом, мы снижаем вероятность успеха ”Прачечных медведей" и помогаем более эффективно защищать цифровые сети". Это полностью соответствует знаменитой тактике голландских мужчин, выбривших ноги и прошедшихся в обках маршем по Амстердаму с целью показать понаехавшим беженцам, что в Нидерландах нельзя насиловать женщин. Поэтому, вероятнее всего, это отпугнет не только всякого рода Медведей, но и дпже Петрова с Бошировым.

Основная цель Laundry Bear – или, как их называет Microsoft (а не они себя), Void Blizzard – извлекать конфиденциальные электронные письма и файлы.

Они взламывают электронную почту и учетные записи Microsoft, используя атаки с использованием паролей или файлов cookie. В последнем случае они используют файлы cookie веб-сессий, украденные с помощью infostealers и проданные в даркнете, но Microsoft заявляет, что они также использовали платформу для атаки с открытым исходным кодом Evilginx и фишинговые страницы для кражи учетных данных для аутентификации и самих файлов cookie.

“После получения первоначального доступа Void Blizzard злоупотребляет законными облачными API, такими как Exchange Online и Microsoft Graph, для перечисления почтовых ящиков пользователей, включая любые общие почтовые ящики, и файлов, размещенных в облаке. Как только учетные записи успешно скомпрометированы, злоумышленник, вероятно, автоматизирует массовый сбор данных, размещенных в облаке (в первую очередь электронной почты и файлов), а также любых почтовых ящиков или общих папок, к которым может получить доступ скомпрометированный пользователь, включая почтовые ящики и папки, принадлежащие другим пользователям, которые предоставили другим пользователям разрешения на чтение”, - пояснили в компании.

В некоторых случаях они также получали доступ к диалогам Microsoft Teams и использовали конфигурацию Microsoft Entra ID скомпрометированной организации для извлечения информации о пользователях, ролях, группах, приложениях и устройствах, принадлежащих этому целевому клиенту.

“В некоторых случаях голландские службы установили, что Laundry Bear похищала данные из скомпрометированных сред SharePoint, где группа использует известные уязвимости для сбора учетных данных для входа в систему для последующих операций”, - отметили голландские службы безопасности.

“Поскольку Laundry Bear, скорее всего, ограничивает свои действия существующим доступом к учетным записям Microsoft, не пытаясь расширить свой доступ к базовым сетям или системам, она, по-видимому, относительно легко и в течение длительного периода оставалась незамеченной сетевыми и системными администраторами.

Как Microsoft, так и голландские агентства предоставили рекомендации о том, как обнаруживать атаки этой группы и отражать их, а также поделились информацией о запросах, которые могут использовать организации для поиска угроз. Полиция Нидерландов разослала всем сотрудникам полиции электронные письма с уведомлением о результатах работы агентств.

Темы и теги

Голландия Наука и Технологии

голландский служба пророссийский хакер атака кибергруппа Laundry Bear Microsoft учетный данные файл