Politic-Social

Serviciile de informatii si securitate din Olanda au identificat o noua grupare cibernetica afiliata Rusiei, implicata in atacuri asupra institutiilor guvernamentale si companiilor din Europa si America de Nord. Gruparea a fost denumita Laundry Bear. "Comparativ cu alti actori cibernetici rusi investigati de serviciile noastre, Laundry Bear se remarca printr-o rata ridicata de succes", au transmis Serviciul General de Informatii si Securitate (AIVD) si Serviciul de Informatii si Securitate Militara (MIVD) din Olanda. Succesul gruparii se datoreaza, potrivit autoritatilor, ritmului rapid al operatiunilor si utilizarii eficiente a automatizarii. "Laundry Bear a reusit sa evite detectarea prin metode simple de atac, folosind instrumente deja prezente pe sistemele victimelor, ceea ce face dificila identificarea sa si diferentierea de alti actori rusi cunoscuti", au explicat agentiile. Tintele atacurilor Gruparea a fost descoperita in urma investigatiei unei brese de securitate din septembrie 2024 care a afectat Politia Nationala Olandeza. Atacatorii au obtinut acces la contul unui angajat al politiei folosind un cookie de sesiune furat, ceea ce le-a permis sa colecteze informatii de contact legate de alti angajati. [caption id="attachment_23558719" align="aligncenter" width="710"] Sursa: X[/caption] Laundry Bear a vizat si alte organizatii considerate relevante pentru interesele Rusiei in razboiul din Ucraina: ministere ale apararii si afacerilor externe, ambasadori, structuri ale fortelor armate si companii din industria de aparare din tari membre NATO si UE. De asemenea, au fost vizate organizatii sociale, culturale si ONG-uri, furnizori de servicii digitale, firme din domeniul aerospatial, companii tehnologice si entitati din sectoare critice. Investigatiile tehnice au aratat ca scopul principal al gruparii era obtinerea de informatii sensibile despre achizitia si productia de echipamente militare de catre guvernele occidentale si despre livrarile de armament catre Ucraina. Serviciile olandeze noteaza ca gruparea pare sa detina cunostinte despre procesele de productie si distributie a acestor bunuri si despre dependentele existente in lantul logistic. De asemenea, Laundry Bear a atacat companii care dezvolta tehnologii avansate, greu accesibile Rusiei din cauza sanctiunilor internationale. Tactici, tehnici si proceduri ale gruparii Laundry Bear - cunoscuta de Microsoft si sub numele de Void Blizzard - urmareste in principal extragerea de e-mailuri si fisiere sensibile. Pentru a patrunde in conturile Microsoft ale victimelor, foloseste atacuri de tip password spray sau tehnici de tip pass-the-cookie. Acestea presupun utilizarea de cookie-uri de sesiune furate cu ajutorul unor programe de tip infostealer si vandute pe darknet. De asemenea, Microsoft a semnalat ca gruparea utilizeaza cadrul open-source Evilginx pentru atacuri de tip man-in-the-middle si pagini de phishing pentru a obtine date de autentificare. Dupa compromiterea unui cont, atacatorii exploateaza API-uri legitime ale Microsoft, precum Exchange Online si Microsoft Graph, pentru a accesa casutele de e-mail si fisierele din cloud. In multe cazuri, gruparea automatizeaza colectarea in masa a datelor disponibile utilizatorului compromis, inclusiv fisiere si e-mailuri la care acesta are acces prin permisiuni partajate. In unele situatii, atacatorii au accesat conversatii din Microsoft Teams si au utilizat informatiile din configuratia Microsoft Entra ID a organizatiei compromise pentru a extrage date despre utilizatori, roluri, grupuri, aplicatii si dispozitive asociate. Gruparea rusa Laundry Bear patrunde in epicentrul celor mai vulnerabile entitati internationale prin metode greu de identificat Serviciile olandeze mai mentioneaza ca Laundry Bear a reusit sa fure date si din medii SharePoint compromise, exploatand vulnerabilitati cunoscute pentru a obtine date de autentificare ce pot fi utilizate in atacuri ulterioare. Pentru ca gruparea isi limiteaza actiunile la conturile Microsoft compromise si nu cauta sa avanseze spre infrastructura interna a retelelor, activitatea sa ramane adesea nedetectata pentru perioade lungi de timp de catre administratorii de sistem. Microsoft si agentiile olandeze au publicat recomandari privind metodele de identificare si combatere a atacurilor acestui actor, iar Microsoft a oferit si interogari de tip threat hunting ce pot fi folosite de organizatii. Politia olandeza a transmis un e-mail informativ catre toti angajatii pentru a-i pune la curent cu rezultatele investigatiei.