Хакеры из ранее неизвестной группировки Laundry Bear около года атаковали правительственные и коммерческие структуры Нидерландов, а также других стран НАТО и ЕС. Об этом говорится в совместном докладе Службы общей разведки и безопасности (AIVD) и Службы военной разведки (MIVD) Нидерландов.
По их данным, хакеров, предположительно работающих на Кремль, не замечали до сентября 2024 года — тогда им удалось похитить конфиденциальные данные около 63 тысяч сотрудников нидерландской полиции. По сообщению Politico, жертвами атаки стали практически все полицейские страны.
В результате расследования этого инцидента выяснилось, что Laundry Bear стоит за кибершпионажем против «большого количества правительственных организаций и компаний» стран ЕС как минимум с 2024 года. Группировка атакует структуры НАТО, правительств стран ЕС, министерств обороны, политических партий и СМИ, а также высокотехнологичных компаний. По предположению AIVD, кибершпионаж преследует цели поиска обхода европейских санкций, наложенных на Россию. В частности, зафиксированы атаки на оборонные и IT-компании. Также целью хакеров стала информация о производстве военной техники и ее поставках в Украину.
Собственное расследование этой группировки ведет также Microsoft, серверы Exchange которого использовали хакеры, — компания дала группировке название Void Blizzard. Атаки, проводимые ими как минимум с апреля 2024 года, пересекаются по целям с другими связанными с российскими спецслужбами группировками: Seashell Blizzard, Forest Blizzard, Midnight Blizzard и Secret Blizzard, говорится в докладе. В документе также приведен пример PDF-файла с анонсом Европейского саммита по обороне и безопасности, приложенного к письму одной из жертв Laundry Bear. Содержащийся в нем QR-код для регистрации вел на фишинговый сайт.
В докладе AIVD указано, что атака Laundry Bear велась через кражу и подмену файлов cookies, перебор паролей, фишинг (кражу аккаунтов с помощью фейковых электронных писем или сообщений) и другие техники. Из-за простоты методов, которые были применены против жертв атаки, идентифицировать, кто стоит за группировкой, может быть затруднительно. Однако, как отмечает служба, связанная с ГРУ группировка APT28, также известная как Fancy Bear, как правило, использует аналогичные методы и атакует похожие цели.