Serviciile de informații olandeze, în colaborare cu Microsoft, au identificat un nou actor cibernetic susținut de statul rus, denumit Laundry Bear (cunoscut și ca Void Blizzard), responsabil pentru o serie de atacuri cibernetice de spionaj împotriva organizațiilor occidentale din 2024 până în prezent.
Grupul Laundry Bear este interesat de compromiterea ministerelor apărării din state membre NATO, ambasadelor și organizațiilor guvernamentale occidentale, a contractorilor din domeniul apărării, a organizațiilor sociale și culturale, precum și a furnizorilor de servicii digitale.
Printre entitățile vizate au fost descoperite și companii din domeniul tehnologiei, transporturilor, media, ONG-uri și sănătate, în special din Europa și America de Nord.
Hackerii utilizează metode de atac simple, combinate cu utilitare de tip living-off-the-land (LOtL) – deja prezente pe calculatoarele vizate – reușind astfel să evite detecția pentru o perioadă mai îndelungată.
De asemenea, metodele folosite au îngreunat identificarea acestora ca grup distinct față de alți actori cunoscuți ca fiind susținuți de Rusia.
Scopul principal al atacurilor este colectarea de informații sensibile, în special despre achizițiile și producția de echipamente militare, precum și despre livrările de arme către Ucraina, ceea ce indică o motivație clară de spionaj.
Atacuri simple și eficiente
Investigația a început în urma unui atac asupra poliției olandeze, în septembrie 2024, când au fost sustrase informațiile de contact ale tuturor angajaților instituției.
Datele au fost furate după compromiterea unui cont al poliției și includeau nume, adrese de e-mail, numere de telefon și, în unele cazuri, detalii personale.
Serviciul General de Informații și Securitate (AIVD) și Serviciul Militar de Informații și Securitate (MIVD) din Țările de Jos au analizat incidentul și l-au atribuit unui nou actor statal din Rusia, pe care l-au denumit Laundry Bear.
Într-un comunicat de presă, cele două servicii afirmă că hackerii Laundry Bear folosesc o diversitate de metode care includ atacuri de tip password spraying, phishing, utilizarea de date de autentificare furate din ecosisteme criminale, accesarea mediilor de e-mail în cloud (precum Microsoft Exchange) și extragerea rapidă a mesajelor și contactelor.
Serviciile olandeze susțin că scopul atacurilor Laundry Bear este spionajul. Actorul statal a reușit să compromită și să fure informații sensibile de la un număr mare de organizații guvernamentale, comerciale și de alte tipuri, la nivel global, cu un interes special asupra statelor din Uniunea Europeană care sunt membre NATO.
Tactici și tehnici de atac
După compromiterea unei ținte, hackerii sustrag într-un timp scurt cantități semnificative de informații despre contactele de e-mail ale organizației victime, precum Global Address List (GAL) – o agendă electronică cu contactele tuturor persoanelor din organizație.
Viteza desfășurării atacurilor și numărul mare de victime pot indica faptul că actorul se bazează pe automatizarea pașilor.
Pentru a obține accesul inițial, gruparea încearcă să folosească tehnici de phishing, tokenuri de autentificare sau cookie-uri obținute de pe piața cibercriminală.
Laundry Bear utilizează, de asemenea, metoda password spraying, prin care se încearcă accesarea unui număr mare de conturi folosind doar câteva parole frecvent utilizate.
Prin această tehnică, numărul de încercări de autentificare pentru un cont dat este distribuit în timp, prin folosirea mai întâi a aceleiași parole pentru a se încerca conectarea la alte conturi, înainte de a încerca o parolă diferită.
Avantajul metodei constă în faptul că instrumentele de monitorizare a rețelei și administratorii de sistem nu primesc alerte pentru eșecurile de autentificare.
Aceasta diferă de atacurile standard de tip brute-force, în care un atacator încearcă în mod repetat să se conecteze la un singur cont într-un interval scurt de timp.
Lista parolelor utilizate într-un atac de tip password spraying constă în general în credențiale compromise care au fost publicate online în urma breșelor de date. Aceste liste includ de obicei parole precum „password123”, „welcome123” și „qwerty”, care funcționează mai des decât s-ar putea anticipa.
După autentificarea cu succes și obținerea accesului la un cont, Laundry Bear exploatează Microsoft Exchange Web Services (EWS) și Outlook Web Access (OWA) pentru a desfășura activități suplimentare în rețelele compromise.
Investigațiile au arătat că actorul amenințării este interesat în mod special de conturile de e-mail care gestionează alte conturi (acces delegat).
În unele cazuri, serviciile olandeze au constatat că Laundry Bear a furat date din medii SharePoint compromise, unde grupul a exploatat vulnerabilități cunoscute pentru a obține date de autentificare, în scopul desfășurării unor operațiuni viitoare.
Exemplu de atac Laundry Bear/Void Blizzard
Microsoft monitorizează activitatea actorului Laundry Bear sub denumirea Void Blizzard și susține că, într-o campanie din aprilie 2025, au fost vizate peste 20 de organizații neguvernamentale din Europa și Statele Unite.
Atacatorul a folosit un nume de domeniu ce semăna (typosquatted) cu cel al portalului de autentificare Microsoft Entra, reprezentând astfel o tactică nouă adoptată de Void Blizzard/Laundry Bear.
În campania de tip spear phishing (phishing țintit), actorul s-a prezentat drept organizator al Summitului European pentru Apărare și Securitate și a trimis e-mailuri cu un atașament PDF ce conținea o invitație falsă la eveniment.
Documentul PDF includea un cod QR care redirecționa către domeniul ‘micsrosoftonline[.]com’, unde era încărcată o pagină de autentificare falsă pentru Microsoft Entra.
Microsoft susține că actorul utilizează platforma open-source Evilginx în atacuri de tip adversary-in-the-middle (AitM), pentru a fura date de autentificare și sesiuni de utilizator generate de server.
Serviciile olandeze de informații AIVD și MIVD, împreună cu Microsoft, au făcut publice aceste informații pentru a crește gradul de conștientizare și pentru a ajuta alte organizații să implementeze măsuri de protecție adecvate.
Laundry Bear/Void Blizzard reprezintă o amenințare semnificativă pentru organizațiile occidentale, în special pentru cele implicate în domeniul apărării și al tehnologiei strategice.
Deși metodele folosite nu sunt sofisticate, eficiența și persistența acestui actor demonstrează riscurile continue generate de spionajul cibernetic sponsorizat de statul rus.
