Un groupe de cyberespionnage jusque-là inconnu soutenu par la Russie et suivi sous le nom d’Ours de Blanchisserie a été lié à une faille de sécurité de la police néerlandaise en septembre 2024.
Comme l’a révélé la police nationale néerlandaise (Politie) l’année dernière, les attaquants ont volé les coordonnées professionnelles de plusieurs agents, y compris les noms, adresses e-mail, numéros de téléphone et, dans certains cas, des informations privées.
Le Service Général néerlandais du Renseignement et de la Sécurité (AIVD) et le Service néerlandais du Renseignement et de la Sécurité de la Défense (MIVD) ont lié mardi Laundry Bear à cette violation dans un avis conjoint publié mardi, avertissant qu’il est hautement probable que ces pirates russes aient également violé d’autres organisations néerlandaises.
Comme l’explique l’avis, Laundry Bear a accédé au compte d’un employé de la police néerlandaise en septembre 2024 et a volé des informations de contact liées au travail via la Liste d’adresses globale (GAL).
L’enquête a révélé que les attaquants ont probablement utilisé une attaque par pass-the-cookie, usurpant l’identité du propriétaire du cookie à l’aide d’un cookie volé via un logiciel malveillant infostealer et acheté sur un marché criminel. Cela a permis à l’auteur de la menace d’accéder aux informations sans nom d’utilisateur ni mot de passe.
« Nous avons vu que ce groupe de pirates informatiques a réussi à accéder à des informations sensibles provenant d’un grand nombre d’organisations (gouvernementales) et d’entreprises du monde entier. Ils ont un intérêt particulier pour les pays de l’Union européenne et de l’OTAN », a déclaré le Vice-amiral Peter Reesink, directeur du MIVD.
« Laundry Bear est à la recherche d’informations sur l’achat et la production d’équipements militaires par les gouvernements occidentaux et les livraisons occidentales d’armes à l’Ukraine. »
Qui est l’Ours à lessive?
Également connu sous le nom de Void Blizzard par Microsoft, cette équipe de piratage est active depuis au moins avril 2024 et se concentre sur le ciblage de l’Ukraine et des États membres de l’OTAN dans des attaques alignées sur les objectifs stratégiques russes.
Les tactiques, techniques et procédures (TTP) des pirates russes incluent l’utilisation d’identifiants volés et d’e-mails de harponnage pour violer les défenses de leurs cibles.
Une fois entrés, ils ont été observés en train de récolter et d’exfiltrer des fichiers et des courriels des systèmes compromis de leurs victimes.
« Les opérations de cyberespionnage de Void Blizzard ont tendance à être très ciblées sur des organisations spécifiques présentant un intérêt pour le gouvernement russe, notamment dans les secteurs du gouvernement, de la défense, des transports, des médias, des organisations non gouvernementales (ONG) et de la santé, principalement en Europe et en Amérique du Nord », Microsoft a déclaré dans un rapport publié mardi.
« En particulier, l’activité prolifique de l’acteur menaçant contre des réseaux dans des secteurs critiques pose un risque accru pour les États membres de l’OTAN et les alliés de l’Ukraine en général. »
Laundry Bear a violé des organisations dans divers secteurs en Ukraine, y compris les transports et la défense. En octobre 2024, ils ont également compromis des comptes d’utilisateurs d’une entité aéronautique ukrainienne précédemment ciblée en 2022 par APT44( Seashell Blizzard), liée à la Direction principale du renseignement de l’État-Major russe (GRU).