В сентябре прошлого года неустановленная кибергруппа провела крупную хакерскую атаку на голландскую полицию, в ходе которой были украдены десятки тысяч личных контактных данных сотрудников полиции. И только вчера совместным заявлением Службы общей разведки и безопасности (AIVD) и Службы военной разведки и безопасности (MIVD) было объявлено, что эти данные понадобились российской кибергруппе Laundry Bear, что в переводе с языка российских хакеров, по мнению голландцев, должно означать "Медведь-прачка".
“Они искали данные о военных поставках на Украину”, - сказал директор MIVD Питер Ризинк. Поэтому российские хакеры залезли в базу данных полиции, из которой стащили данные 10000 полицейских. Все логично. После этого выяснить, как и когда Нидерланды будут поставлять свое старье на 404 было делом техники. Видимо, для этого предполагалось обзвонить всех полицейских.
Но это еще не все.
По данным агентств, группа, занимающаяся шпионажем, также нацелилась на несколько других голландских организаций. “Они проявляют особый интерес к вооруженным силам, правительствам, оборонным (субподрядным) поставщикам, общественным и гражданским организациям, а также к поставщикам информационных технологий и цифровых услуг”, - сообщили агентства.
Конечно, было бы логичнее, если бы они проявляли интерес к голландским содержателям борделей или кофешопам, но они этого не делали. Из чего можно сделать вывод о высоком моральном духе и здоровом образе жизни российских хакеров.
В письме в Tweede Kamer министр обороны Рубен Брекельманс (MIVD) и министр внутренних дел Джудит Уитермарк (AIVD) написали, что Laundry Bear проводит кибератаки против западных правительств, компаний и учреждений “по меньшей мере, с 2024 года” и “весьма вероятно, что они действуют в шпионских целях”. Хайли лайкли или даже вери лайкли.
Полный масштаб кражи данных в ходе других инцидентов остается неясным. “Невозможно определить, были ли данные украдены в ходе других атак”, - заявили агентства. Кроме того, и сами эти атаки оказалось трудно обнаружить.
Когда же голландские спецслужбы это заметили, - "Мы сознательно решили разоблачить их тактику”, - сказал генеральный директор AIVD Эрик Акербум. - “Поступая таким образом, мы снижаем вероятность успеха ”Прачечных медведей" и помогаем более эффективно защищать цифровые сети". Это полностью соответствует знаменитой тактике голландских мужчин, выбривших ноги и прошедшихся в юбках маршем по Амстердаму с целью показать понаехавшим беженцам, что в Нидерландах нельзя насиловать женщин. Поэтому, вероятнее всего, это отпугнет не только всякого рода Медведей, но и даже Петрова с Бошировым.
Основная цель Laundry Bear – или, как их называет Microsoft (а не они себя), Void Blizzard – извлекать конфиденциальные электронные письма и файлы.
Они взламывают электронную почту и учетные записи Microsoft, используя атаки с использованием паролей или файлов cookie. В последнем случае они используют файлы cookie веб-сессий, украденные с помощью infostealers и проданные в даркнете, но Microsoft заявляет, что они также использовали платформу для атаки с открытым исходным кодом Evilginx и фишинговые страницы для кражи учетных данных для аутентификации и самих файлов cookie.
“После получения первоначального доступа Void Blizzard злоупотребляет законными облачными API, такими как Exchange Online и Microsoft Graph, для перечисления почтовых ящиков пользователей, включая любые общие почтовые ящики, и файлов, размещенных в облаке. Как только учетные записи успешно скомпрометированы, злоумышленник, вероятно, автоматизирует массовый сбор данных, размещенных в облаке (в первую очередь электронной почты и файлов), а также любых почтовых ящиков или общих папок, к которым может получить доступ скомпрометированный пользователь, включая почтовые ящики и папки, принадлежащие другим пользователям, которые предоставили другим пользователям разрешения на чтение”, - пояснили в компании.
В некоторых случаях они также получали доступ к диалогам Microsoft Teams и использовали конфигурацию Microsoft Entra ID скомпрометированной организации для извлечения информации о пользователях, ролях, группах, приложениях и устройствах, принадлежащих этому целевому клиенту.
“В некоторых случаях голландские службы установили, что Laundry Bear похищала данные из скомпрометированных сред SharePoint, где группа использует известные уязвимости для сбора учетных данных для входа в систему для последующих операций”, - отметили голландские службы безопасности.
“Поскольку Laundry Bear, скорее всего, ограничивает свои действия существующим доступом к учетным записям Microsoft, не пытаясь расширить свой доступ к базовым сетям или системам, она, по-видимому, относительно легко и в течение длительного периода оставалась незамеченной сетевыми и системными администраторами.
Как Microsoft, так и голландские агентства предоставили рекомендации о том, как обнаруживать атаки этой группы и отражать их, а также поделились информацией о запросах, которые могут использовать организации для поиска угроз. Полиция Нидерландов разослала всем сотрудникам полиции электронные письма с уведомлением о результатах работы агентств.
Комментарии
Ну сейчас им начнут названивать из службы безопасности ING-банка
Уже начали. Правда, полицейские. Которые не говорят по-голландски, но знают русский и украинский.
Украинский это ново-нидерландский!
Скорее Ново-Зелендский...
В Дании 10000 полицейских! Ужас какой. Сроду бы не подумала. На такую площадь... Три участковых и то начнут конкурировать.
а женщин в Дании, да, я согласна - насиловать нельзя. Их нигде нельзя насиловать, а в Дании лучше насиловать мужчин.
В Нидерландах.
Да какая разница! (с)
Извините, Колокольчик! Видимо, какие-то свои мысли спанталыку сбили.
Хотя, там же кто-то кого-то присоединить хотел недавно? Да разве тут за Уралом за всеми ихими деревнями уследишь...
Бывает, ничего страшного.
Это все равно как территория одной Московской области.
Они там вообще есть?
Если бы хакеры не орали "ура" во время своих атак, то никто бы и не узнал, что они русские.
Дак, и так 9 месяцев рожали имена авторов...
"Мы сознательно решили разоблачить их тактику" - вы, зная их менталитет, понимаете эту фразу? Может, нидерландские учёные открыли ещё какие-то варианты решений кроме сознательных?
Что-то не помню таких слов "ландри бир" не в одном из многонациональных языков России.
Хакеры - они такие выдумщики. Вспомнить Овца... Но придумать такое коллективом могли, скорее, голландские спецслужбы.
Блин, я поняла. Это ОНИ так назвали эту группу - типа, онс "копается в грязном белье", собирая данные персональных мэйлов и чатов. А Микрософт их, вообще, по-другому назвал.
У гугла есть возможность зареггать "супердоступ" к аккаунту организации :) просто из аккаунта админа.
Имея который можно получать ключи авторизации на любой сервис гугла любого юзера организации (в том числе абсолютно незаметно для пользователей - да и для админов).
Очень полезная штука, когда я делал бекап всей корпоративной почты... Естественно это документированное АПИ... хотя наверно это можно назвать "злоупотреблением" - если вы допустим не админ :) или авторизационный токен даёт что-то больше чем ожидали разработчики и юзеры. Апи штука интересная :)
"Миру - мир, мужикам - бир".
"Ту бир ор нот ту бир" -. в смысле "файв бир".
...то ли туплю на ночь глядя, то ли 0x10 || !0x10 упорно складывается в 0x11, бишь фри (ну не *ри же) бир...
Это как пет шоп бойз.
Только не бойз а бирз. И не петшоп а лаундри :)
Го вест!
Список сотрудников полиции страны противника, особенно если не просто список имён, а ещё и с установочными данными (дата рождения, домашний адрес, номер телефона и т.д. и т.д.) это достаточно ценный ресурс для внешней разведки и особенно - для внешней контрразведки.
М.б. не сам по себе, но как компонент более обширной базы данных.
Но зачем он для установления того, когда и что отправят на 404?
Не для этого. Удачно попался под руку, не пропадать же добру. А остальное журналюшки насочиняли.
Хотя нельзя исключать и того, про грузы для укропцев - это как раз и была легенда, а список сам по себе и был целью. М.б. именно в нём должен был числиться какой-то очень интересный человечек, откуда нам знать.
Разведка - дело такое, покрытое мраком тайны.
Да и вообще не факт, что это именно русская разведка шустрила. М.б. вы не поверите, но в Албании тоже есть разведка.
Я и не думала, что это наша разведка иди хакеры. Даже не думала, что разведка вообще. Их чморили несколько месяцев, более 100 атак с требовантем выкупа, по которым сказали минимум. А тут данные полиции для разведки оружия. А минобороны менее интересно, что ли, с этой целью?
Ключевое - "могли получить доступ".
А получили или нет они не знают. Но должны исходить из худшего варианта :)
Читаешь хорошие доки по апи - а у микрософта я верю доки хорошие - и удивляешься... Чего там можно узнать и получить :)
А если там были какие-то их доступы и "служебные" бэкдуры на базы данных морских и сухопутных портов? А там 100% в каких-нить служебных папочках что-то такое валялось, причём с инструкциями "для тупых" как и куда заходить, чего вбивать и как искать :)
А по базам портов и таможни можно не только снабжение всу отследить :)
Плюс перманентный коматоз информационных систем от всяких шифровальщиков и вымогателей... Могли быть операцией прикрытия (или независимым процессом, которым удобно пользоваться). Пока одни "побырому" рубят бабло шифровальщиками, другие вдумчиво собирают до чего дотянутся :)
Видимо доставка на Украину из Нидерландов дело достаточно затратное, а тут 10 тысяч полицейских без дела сидят, дурака валяют, чего бы их не привлечь? )) Разведка видимо про это узнала и решила установить имена курьеров заранее ))
Полицейских ужос как не хватает.
На саммит наты всех гонят в Гаагу и просят у других стран.
И что теперь, из-за того, что в Нидерландах не хватает полицейских, Украине без оружия сидеть? )))
Но если серьëзно, то видимо сверху потребовали отчитаться о расследовании по факту утечки данных, и на роль злодеев никого лучше российских хакеров не нашлось.
Мне так и показалось.
Хотя добавила в статью данные Микрософта
Лично мне это видится так: стырены личные данные полиции. Это было опубликовано еще в сентябре. Значит, нужно найти авторов.
За 9 месяцев авторов не нашли. А отвечать что-то нужно. Значит, чья вина? Русских хакеров. А зачем им данные полиции? Для определения поставок оружия на 404. В 99% случаев и 100 граждане даже не задумаются над тем, есть ли связь.
Красивое, удобное для всех, пусть и фальшивое утверждение.
"Служебное название" гипотетических похитителей выдали как откровение. Стандартная процедура придания правдоподобности любому фейку путём добавления сотен мелких якобы деталей :)
При том что сами признают, что факта хищения данных даже не зафиксировали. Дырки есть (и будут) - ну а почему бы не огласить "факт", что возможно их уже взломали? :)
Русские хакеры вторглись в Европу по самые Нидерланды. )
чуть под свой эльбрус не свалился :)) спасибо за формулировку, надо коллеге показать
Честно стыбзено у Михаила Задонова:
Нидергланды
Именно!
)
Наивные! Где есть шпили, ничто от них не спасет!
Значит, ждем! Пусть заранее сообщат, чтобы им организовали встречу с хлебом и солью!
Не, они же только посмотреть.
Хлеб с солью посмотреть не помешают.
Как знать... Смотря кто этот хлеб преподнесет.
Не, это отвлекает.
Не палитесь, товарищ Петров...
Вот блин...
Для йуного хакера любая сотовая вышка шпиль!
Такое действительно могли придумать только обдолбленные наркоты.
Мне кажется, их народ настолько обдолбан пропагандой, что ему можно скормить любую чушь.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Сейчас факеры из вна факнут всю голландскую полицию, и особенно ихних пенсионеров на гроши.
Страницы