stirile imobiliare
Serviciile de informații și securitate din Olanda au identificat o nouă grupare cibernetică afiliată Rusiei, implicată în atacuri asupra instituțiilor guvernamentale și companiilor din Europa și America de Nord. Gruparea a fost denumită Laundry Bear.
„Comparativ cu alți actori cibernetici ruși investigați de serviciile noastre, Laundry Bear se remarcă printr-o rată ridicată de succes”, au transmis Serviciul General de Informații și Securitate (AIVD) și Serviciul de Informații și Securitate Militară (MIVD) din Olanda.
Succesul grupării se datorează, potrivit autorităților, ritmului rapid al operațiunilor și utilizării eficiente a automatizării.
„Laundry Bear a reușit să evite detectarea prin metode simple de atac, folosind instrumente deja prezente pe sistemele victimelor, ceea ce face dificilă identificarea sa și diferențierea de alți actori ruși cunoscuți”, au explicat agențiile.
Țintele atacurilor
Gruparea a fost descoperită în urma investigației unei breșe de securitate din septembrie 2024 care a afectat Poliția Națională Olandeză. Atacatorii au obținut acces la contul unui angajat al poliției folosind un cookie de sesiune furat, ceea ce le-a permis să colecteze informații de contact legate de alți angajați.
Sursa: X
Laundry Bear a vizat și alte organizații considerate relevante pentru interesele Rusiei în războiul din Ucraina: ministere ale apărării și afacerilor externe, ambasadori, structuri ale forțelor armate și companii din industria de apărare din țări membre NATO și UE.
De asemenea, au fost vizate organizații sociale, culturale și ONG-uri, furnizori de servicii digitale, firme din domeniul aerospațial, companii tehnologice și entități din sectoare critice.
Investigațiile tehnice au arătat că scopul principal al grupării era obținerea de informații sensibile despre achiziția și producția de echipamente militare de către guvernele occidentale și despre livrările de armament către Ucraina.
Serviciile olandeze notează că gruparea pare să dețină cunoștințe despre procesele de producție și distribuție a acestor bunuri și despre dependențele existente în lanțul logistic.
De asemenea, Laundry Bear a atacat companii care dezvoltă tehnologii avansate, greu accesibile Rusiei din cauza sancțiunilor internaționale.
Tactici, tehnici și proceduri ale grupării
Laundry Bear — cunoscută de Microsoft și sub numele de Void Blizzard — urmărește în principal extragerea de e-mailuri și fișiere sensibile.
Pentru a pătrunde în conturile Microsoft ale victimelor, folosește atacuri de tip password spray sau tehnici de tip pass-the-cookie. Acestea presupun utilizarea de cookie-uri de sesiune furate cu ajutorul unor programe de tip infostealer și vândute pe darknet.
De asemenea, Microsoft a semnalat că gruparea utilizează cadrul open-source Evilginx pentru atacuri de tip man-in-the-middle și pagini de phishing pentru a obține date de autentificare.
După compromiterea unui cont, atacatorii exploatează API-uri legitime ale Microsoft, precum Exchange Online și Microsoft Graph, pentru a accesa căsuțele de e-mail și fișierele din cloud.
În multe cazuri, gruparea automatizează colectarea în masă a datelor disponibile utilizatorului compromis, inclusiv fișiere și e-mailuri la care acesta are acces prin permisiuni partajate.
În unele situații, atacatorii au accesat conversații din Microsoft Teams și au utilizat informațiile din configurația Microsoft Entra ID a organizației compromise pentru a extrage date despre utilizatori, roluri, grupuri, aplicații și dispozitive asociate.
Gruparea rusă Laundry Bear pătrunde în epicentrul celor mai vulnerabile entități internaționale prin metode greu de identificat
Serviciile olandeze mai menționează că Laundry Bear a reușit să fure date și din medii SharePoint compromise, exploatând vulnerabilități cunoscute pentru a obține date de autentificare ce pot fi utilizate în atacuri ulterioare.
Pentru că gruparea își limitează acțiunile la conturile Microsoft compromise și nu caută să avanseze spre infrastructura internă a rețelelor, activitatea sa rămâne adesea nedetectată pentru perioade lungi de timp de către administratorii de sistem.
Microsoft și agențiile olandeze au publicat recomandări privind metodele de identificare și combatere a atacurilor acestui actor, iar Microsoft a oferit și interogări de tip threat hunting ce pot fi folosite de organizații. Poliția olandeză a transmis un e-mail informativ către toți angajații pentru a-i pune la curent cu rezultatele investigației.
Articolul Una dintre cele mai eficiente grupări de hackeri ruși, Laundry Bear, a fost descoperită de serviciile olandeze de informații și de Microsoft apare prima dată în Mediafax.
Mediafax
Simplu și rapid: Cookie-uri furate, acces prin Microsoft Teams și infrastructură de cloud compromisă
Articolul Una dintre cele mai eficiente grupări de hackeri ruși, Laundry Bear, a fost descoperită de serviciile olandeze de informații și de Microsoft apare prima dată în Mediafax.Read MoreMediafax
