В сентябре прошлого года неустановленная кибергруппа провела крупную хакерскую атаку на голландскую полицию, в ходе которой были украдены десятки тысяч личных контактных данных сотрудников полиции. И только вчера совместным заявлением Службы общей разведки и безопасности (AIVD) и Службы военной разведки и безопасности (MIVD) было объявлено, что эти данные понадобились российской кибергруппе Laundry Bear, что в переводе с языка российских хакеров, по мнению голландцев, должно означать "Медведь-прачка".
“Они искали данные о военных поставках на Украину”, - сказал директор MIVD Питер Ризинк. Поэтому российские хакеры залезли в базу данных полиции, из которой стащили данные 10000 полицейских. Все логично. После этого выяснить, как и когда Нидерланды будут поставлять свое старье на 404 было делом техники. Видимо, для этого предполагалось обзвонить всех полицейских.
Но это еще не все.
По данным агентств, группа, занимающаяся шпионажем, также нацелилась на несколько других голландских организаций. “Они проявляют особый интерес к вооруженным силам, правительствам, оборонным (субподрядным) поставщикам, общественным и гражданским организациям, а также к поставщикам информационных технологий и цифровых услуг”, - сообщили агентства.
Конечно, было бы логичнее, если бы они проявляли интерес к голландским содержателям борделей или кофешопам, но они этого не делали. Из чего можно сделать вывод о высоком моральном духе и здоровом образе жизни российских хакеров.
В письме в Tweede Kamer министр обороны Рубен Брекельманс (MIVD) и министр внутренних дел Джудит Уитермарк (AIVD) написали, что Laundry Bear проводит кибератаки против западных правительств, компаний и учреждений “по меньшей мере, с 2024 года” и “весьма вероятно, что они действуют в шпионских целях”. Хайли лайкли или даже вери лайкли.
Полный масштаб кражи данных в ходе других инцидентов остается неясным. “Невозможно определить, были ли данные украдены в ходе других атак”, - заявили агентства. Кроме того, и сами эти атаки оказалось трудно обнаружить.
Когда же голландские спецслужбы это заметили, - "Мы сознательно решили разоблачить их тактику”, - сказал генеральный директор AIVD Эрик Акербум. - “Поступая таким образом, мы снижаем вероятность успеха ”Прачечных медведей" и помогаем более эффективно защищать цифровые сети". Это полностью соответствует знаменитой тактике голландских мужчин, выбривших ноги и прошедшихся в юбках маршем по Амстердаму с целью показать понаехавшим беженцам, что в Нидерландах нельзя насиловать женщин. Поэтому, вероятнее всего, это отпугнет не только всякого рода Медведей, но и даже Петрова с Бошировым.
Основная цель Laundry Bear – или, как их называет Microsoft (а не они себя), Void Blizzard – извлекать конфиденциальные электронные письма и файлы.
Они взламывают электронную почту и учетные записи Microsoft, используя атаки с использованием паролей или файлов cookie. В последнем случае они используют файлы cookie веб-сессий, украденные с помощью infostealers и проданные в даркнете, но Microsoft заявляет, что они также использовали платформу для атаки с открытым исходным кодом Evilginx и фишинговые страницы для кражи учетных данных для аутентификации и самих файлов cookie.
“После получения первоначального доступа Void Blizzard злоупотребляет законными облачными API, такими как Exchange Online и Microsoft Graph, для перечисления почтовых ящиков пользователей, включая любые общие почтовые ящики, и файлов, размещенных в облаке. Как только учетные записи успешно скомпрометированы, злоумышленник, вероятно, автоматизирует массовый сбор данных, размещенных в облаке (в первую очередь электронной почты и файлов), а также любых почтовых ящиков или общих папок, к которым может получить доступ скомпрометированный пользователь, включая почтовые ящики и папки, принадлежащие другим пользователям, которые предоставили другим пользователям разрешения на чтение”, - пояснили в компании.
В некоторых случаях они также получали доступ к диалогам Microsoft Teams и использовали конфигурацию Microsoft Entra ID скомпрометированной организации для извлечения информации о пользователях, ролях, группах, приложениях и устройствах, принадлежащих этому целевому клиенту.
“В некоторых случаях голландские службы установили, что Laundry Bear похищала данные из скомпрометированных сред SharePoint, где группа использует известные уязвимости для сбора учетных данных для входа в систему для последующих операций”, - отметили голландские службы безопасности.
“Поскольку Laundry Bear, скорее всего, ограничивает свои действия существующим доступом к учетным записям Microsoft, не пытаясь расширить свой доступ к базовым сетям или системам, она, по-видимому, относительно легко и в течение длительного периода оставалась незамеченной сетевыми и системными администраторами.
Как Microsoft, так и голландские агентства предоставили рекомендации о том, как обнаруживать атаки этой группы и отражать их, а также поделились информацией о запросах, которые могут использовать организации для поиска угроз. Полиция Нидерландов разослала всем сотрудникам полиции электронные письма с уведомлением о результатах работы агентств.
Комментарии
Уже начали звонить, от имени голландской полиции.
И даже по домам от имени полиции ходят.
Лиха беда начало ... полиция, ФНС, банки, ПФ, пожарники, ЛГБТ, зелёные...
Так как всё-таки переводится название гнусной шайки, сотворившей такое? Может здесь bear глагол)
Я, вот, подумала, что они сами придумали (потому что Микрософт их называет по-другому). На фига скрывать свои действия, но писать, как тебя зовут?
Так что это "рабочее название", данное голландцами.
И они имеют в виду "копающихся в грязном белье" - типа, частой жизни по мэйлам и чатам.
Какая прелесть! Данные не были нагло спиZZ...ны, а просто кому-то понадобились!!
Толерантненько...
Возможно, по-голландски это звучало по-другому.
Но могли бы и отдать сразу, раз понадобились.
Скажите пожалуйста, а на коренных голландцев такие новости производят впечатление?
Стопудово.
Они, кроме своих сми, больше ничего не читают и ничему не верят
Спасибо за ответ.
Интересно, а их этот информационный вакуум устраивает или это уже деградация...
Более того: если попытаться порвать их шаблон, от Вас отпрыгнут.
У них не уложится в голове, что их сми могут им врать. Только если у человека самого сохранились остатки критичности, и он сам захочет что-то найти. Иначе они похлеще Гордона.
Другой пример: подавляющее большинство голландцев уверены, что у них лучшая медицина в мире. При этом лично я за 19 лет не встречала иностранца, не попытавшегося высказать матом все, что он думает по поводу этой самой медицины. Даже американцы, пожившие в Румынии, уверяют, что румынская медицина в десятки раз лучше голландской.
Но голландцы некритичны, в другую страну съездить, проверить они не захотят. Поэтому для них их медицина - лучшая. По сравнению с... ничем другим.
То есть, если им не давать сравнивать, а давать только 1 вариант, они будут убеждены, что иных не существует.
Если в протоколе работы написано, что чел должен нажимать только зеленую кнопку, то, даже если там сотня кнопок другого цвета, голландцы будут нажимать только зеленую. Ордунг. Они и евреев во время войны сдавали по 7.5 форинта потому, что это было "положено".
Не существует такой хакерской группы.
Сами себя так не называет никто.
Это или фейк или медиа операция.
Ну а спереть могли запросто.
Я так поняла, это сами голландцы назвали так эту группу. Я тоже, кроме новостей от голландцев, ничего об этой группе не нашла.
Это кто угодно может быть 😂
Хотя Голландия - абсолютно неприоритетная страна для взломов.
Учитывая, скольео там датацентров... Да нще самитт НАТО в июне, наверное, есть интересная инфа.
Но я момневаюсь, что хаееры помле себя еще и бкмажки с названием оставляли. Так что это, как и описано в статье, скорее, голландское "рабочее название".
У каждого взлома есть технические следы, характерные для группы.
Однако, их обычно чистят.
Насчёт датацентров - да, это корректное замечание, но пользуются ими небольшие компании. Приоритет - у финтеха и американских компаний.
Это не прачечная, а министерство культуры
Страницы