Serviciile de informații și securitate din Țările de Jos au identificat o nouă grupare cibernetică afiliată Rusiei, implicată în atacuri asupra instituțiilor guvernamentale și companiilor din Europa și America de Nord. Gruparea a fost denumită Laundry Bear.
„În comparație cu alți actori cibernetici ruși investigați, Laundry Bear se distinge printr-un succes ridicat”, au anunțat Serviciul General de Informații și Securitate (AIVD) și Serviciul de Informații și Securitate Militară (MIVD) din Țările de Jos.
Succesul grupării se datorează, potrivit autorităților, vitezei ridicate de acțiune și utilizării eficiente a automatizării.
„Laundry Bear a reușit să evite descoperirea prin metode simple de atac, utilizând instrumente deja prezente pe sistemele victimelor, ceea ce face dificilă identificarea și diferențierea de alți actori cibernetici ruși cunoscuți”, au explicat agențiile.
Obiectivele atacurilor
Gruparea a fost descoperită ca urmare a unei breșe de securitate din septembrie 2024 care a afectat Poliția Națională olandeză. Atacatorii au obținut acces la contul unui angajat folosind un cookie de sesiune furat, permițându-le colectarea de date de contact ale altor angajați.
Laundry Bear s-a îndreptat și spre alte organizații relevante pentru interesele Rusiei în conflictul din Ucraina: ministere ale apărării și afacerilor externe, ambasade, structuri militare și companii din industria de apărare din statele membre NATO și UE.
De asemenea, au fost țintuite organizații sociale, culturale și ONG-uri, furnizori de servicii digitale, companii aerospațiale, firme tehnologice și entități din sectoare critice.
Cercetările tehnice au arătat că obiectivul principal al grupării era obținerea de informații secrete despre achiziționarea și producția de echipamente militare de către statele occidentale și despre livrările de armament către Ucraina.
Serviciile olandeze observă că gruparea pare să dețină cunoștințe despre procesele de producție și distribuție a acestor bunuri și despre dependențele lanțului logistic.
Totodată, Laundry Bear a atacat companii care dezvoltă tehnologii avansate, greu accesibile Rusiei din cauza sancțiunilor internaționale.
Tactici, tehnici și proceduri ale grupării
Laundry Bear — cunoscută și de Microsoft sub denumirea Void Blizzard — se concentrează în principal pe extragerea de e-mailuri și documente importante.
Pentru accesarea conturilor Microsoft ale victimelor, gruparea folosește metode precum password spray și pass-the-cookie. Acestea presupun utilizarea de cookie-uri de sesiune furate cu ajutorul programelor infostealer și vândute pe rețelele întunecate.
Microsoft a remarcat că gruparea apelează la cadrul open-source Evilginx pentru atacuri man-in-the-middle și pagini de phishing pentru a obține date de autentificare.
După compromiterea unui cont, atacatorii folosesc API-uri legitime ale Microsoft, precum Exchange Online și Microsoft Graph, pentru a accesa mesajele și fișierele din cloud.
În multe cazuri, gruparea automatizează colectarea masivă a datelor disponibile utilizatorului compromis, incluzând fișiere și e-mailuri accesibile prin permisiuni partajate.
În situații specifice, atacatorii au accesat conversațiile din Microsoft Teams și au exploatat informațiile provenind din configurația Microsoft Entra ID pentru a obține date despre utilizatori, roluri, grupuri, aplicații și dispozitive asociate.
Gruparea rusă Laundry Bear vizează infrastructurile internaționale vulnerabile prin metode dificil de detectat
Serviciile olandeze mai menționează că Laundry Bear a reușit să obțină date și din medii SharePoint compromise, exploatând vulnerabilități cunoscute pentru a obține date de autentificare utilizabile în atacuri ulterioare.
Având în vedere că acțiunile grupării se limitează la conturile Microsoft compromise, fără a încerca accesul profund în infrastructura rețelelor, activitatea lor rămâne adesea nedetectată pentru perioade îndelungate de către administratorii de sistem.
Microsoft și agențiile olandeze au publicat recomandări pentru identificarea și contracararea atacurilor grupării, iar Microsoft a oferit interogări de threat hunting pentru organizații. Poliția olandeză a emis o informare către toți angajații pentru a-i atenționa cu privire la rezultatele anchetei.
Lasă un răspuns