A holland hírszerzés leleplezte az eddig ismeretlen orosz kiberszereplőt a Laundry Bear-t
Egy eddig ismeretlen orosz kiberszereplőt lepleztek le a holland hírszerző szolgálatok 2025. május 27-én, és számos holland szervezetet ért tavalyi kiberbiztonsági incidenst, köztük a nemzeti rendőrséget is érintő támadást is a Laundry Bear-nek tulajdonították. A holland szolgálatok közölték, hogy a Laundry Bear által elkövetett támadások átfedésben vannak az (GRU) 26165-ös egysége, más néven APT28 vagy Fancy Bear modus operandijával, de két különböző kiberszereplőnek tekintik őket.
A védelmi minisztérium jelentette be, hogy az ország hírszerző szervei – az Általános Hírszerző és Biztonsági Szolgálat (AIVD) és a Katonai Hírszerző és Biztonsági Szolgálat (MIVD) – technikai attribúciót és összefoglalót nyújtottak be a holland parlamentnek. A holland közleményre hivatkozva a Microsoft közölte, hogy Void Blizzard néven követi a csoportot, és úgy értékelte, hogy az legalább 2024 óta globálisan aktív, és kifejezetten nagy érdeklődést mutat a NATO tagállamok és Ukrajna felé olyan szervezetekkel kapcsolatban, mint a fegyveres erők, kormányzat, védelmi beszállítók, társadalmi szervezetek, valamint IT- és digitális szolgáltatók.
A Microsoft közölte, hogy még a múlt hónapban azonosította a Void Blizzardot, amely az Európai Védelmi és Biztonsági Csúcstalálkozó szervezőjének adta ki magát, és adathalász e-maileket küldött. A csali egy PDF-melléklet volt, amely egy hitelesítő adatokat lopó oldalra mutató hamis meghívót kínált.
A holland jelentés szerint a célpontok az ukrajnai orosz háborús erőfeszítésekkel közvetlenül összefüggő ügyekre összpontosítottak, beleértve a NATO-országok védelmi minisztériumait, katonai egységeket és védelmi vállalatokat. Az összefoglaló szerint tavaly a katonai felszereléseket gyártó védelmi, űrkutatási és űrtechnológiai cégek voltak a célpontok. A technikai vizsgálatok azt mutatják, hogy a Laundry Bear nagy valószínűséggel arra törekedett, hogy érzékeny információkat szerezzen meg a nyugati kormányok által vásárolt és gyártott katonai felszerelésekről és az Ukrajnába irányuló nyugati fegyverszállításokról. A szolgálatok úgy látják, hogy a kiberszereplő a jelek szerint bizonyos fokú ismeretekkel rendelkezik a védelmi berendezések gyártásáról és szállításáról, valamint az ehhez szükséges alkomponensekről. A Laundry Bear kibertevékenységeket hajtott végre számos vállalat ellen, amelyek olyan csúcstechnológiákat gyártanak, amelyekhez Oroszország a jelenlegi nyugati szankciók miatt nehezen jut hozzá.
A jelentés szerint a Laundry Bear eddig csak olyan, nem pusztító kibertevékenységeket hajtott végre, amelyek célja valószínűleg kémkedési volt. Behatolt a csoport felhőalapú e-mail környezetekbe, például Microsoft Exchange szerverekbe, hogy e-maileket és e-mail kapcsolatokra vonatkozó információkat szerezzen meg nagy mennyiségben. A csoport műveleteinek sebességét és nagyságrendjét valószínűleg a támadási lánc bizonyos fokú automatizáltsága vezérli – állítják a hírszerző ügynökségek.
A jelentésben felhívják a figyelmet, hogy a csoport viszonylag egyszerű technikákat használ, amelyeket nehéz lehet felderíteni, és elkerüli a saját rosszindulatú szoftverek használatát, ehelyett az áldozatok rendszereiben már meglévő eszközöket használja, azaz a living-off-the-land (LOTL) technikát.
A Laundry Bear civil szervezeteket is célba vett, beleértve a nem kormányzati szervezeteket, valamint a média és az oktatási ágazat szervezeteit. A holland jelentés hangsúlyozza, hogy a civil célpontok különösen az informatikai és technológiai ágazatban működő szervezetek voltak, amelyek például kormányok számára digitális szolgáltatásokat nyújtanak.
A Laundry Bear-ről szóló jelentés a hírszerző ügynökségek közös erőfeszítéseinek része, beleértve a múlt héten közzétett orosz kibertevékenységről szóló jelentést is, amelyben a brit Nemzeti Kiberbiztonsági Központ (NCSC) és nemzetközi partnerei, köztük az Egyesült Államok, Franciaország és Németország nyilvánosságra hozták, hogy az APT28 kiterjedt kiberműveletet folytat, amelynek célja a Nyugat Ukrajnának nyújtott támogatásának aláásása. A kampány során a GRU különböző módszereket alkalmazott, beleértve a biztonsági kamerák feltörését határátkelőkön, vasútállomásokon és katonai létesítményekben. A jelentések szerint mintegy 10 000 kamerát kompromittáltak, főként Ukrajnában (80%), de Romániában, Lengyelországban, Magyarországon és Szlovákiában is. A cél az volt, hogy nyomon kövessék a humanitárius és katonai segélyek mozgását, valamint érzékeny szállítási információkat szerezzenek meg. Egyes esetekben a támadók hangalapú adathalászatot alkalmaztak, IT-személyzetnek álcázva magukat.
