Laundry Bear: De Russische cyberdreiging die Nederland en de politie raakt

Sinds 2024 heeft de AIVD en MIVD een nieuwe, tot nu toe onbekende Russische cyberactor onder de naam Laundry Bear geïdentificeerd. Deze actor heeft zich gespecialiseerd in het uitvoeren van cyberaanvallen die gericht zijn op spionage en het verkrijgen van gevoelige informatie uit westerse overheden, bedrijven en andere strategische doelwitten. In dit artikel duiken we dieper in de achtergrond van Laundry Bear, de gebruikte technieken en de gevolgen voor Nederland, Europa en de wereld. Daarnaast bespreken we maatregelen om de weerbaarheid tegen dergelijke cyberdreigingen te versterken.

Oorsprong en het pad van laundry bear

Laundry Bear is een relatief nieuwe speler in het wereldwijde cyberlandschap. De naam werd door de AIVD en MIVD toegekend aan een Russische cyberactor die sinds 2024 actief is in het uitvoeren van cyberaanvallen tegen westerse doelwitten. De oorsprong van deze actor ligt waarschijnlijk binnen de Russische staatsveiligheidsstructuren, wat betekent dat de aanvallen mogelijk gecoördineerd zijn door de Russische overheid. Dit maakt Laundry Bear onderdeel van een breder offensief van de Russische cyberoorlogvoering gericht op het verkrijgen van strategische informatie, met name in de context van de oorlog in Oekraïne.

De eerste grote aanval werd uitgevoerd op de Nederlandse politie in september 2024. De cyberactor wist werkgerelateerde contactgegevens van politiemedewerkers te stelen. Deze aanval, die aanvankelijk als opportunistisch werd beschouwd, leek meer te maken te hebben met de strategische belangen van Rusland in de context van geopolitieke spanningen. Dit markeerde het begin van de bekende operaties van Laundry Bear, die zich sindsdien heeft gericht op een breed scala aan organisaties, zowel binnen als buiten de overheid.

Aanvalstechnieken en cyberoperaties van laundry bear

Wat Laundry Bear bijzonder maakt, is de combinatie van relatief eenvoudige maar effectieve aanvalstechnieken, die het voor slachtoffers moeilijk maken om de aanvallen snel te detecteren. De actor maakt gebruik van technieken zoals phishing en password spraying. Phishing-aanvallen worden uitgevoerd door e-mails te sturen die eruit zien als legitieme berichten, maar die de ontvanger naar een malafide website leiden om inloggegevens te stelen. Password spraying is een andere techniek waarbij een beperkt aantal veelgebruikte wachtwoorden op meerdere accounts wordt geprobeerd, wat helpt om detectie door netwerkbeheerders te vermijden.

Naast deze veelgebruikte methoden maakt Laundry Bear ook gebruik van zogenaamde Living off the Land-technieken. Dit houdt in dat de actor bestaande systemen en tools binnen het netwerk van het slachtoffer gebruikt om zijn aanvallen uit te voeren, zonder nieuwe malware te introduceren. Hierdoor lijkt de activiteit van de actor op legitiem gebruik van de systemen, wat het voor slachtoffers lastig maakt om de aanval te herkennen. Door gebruik te maken van gestolen authenticatietokens, zoals cookies die via criminele fora zijn verkregen, kan de actor zichzelf voordoen als een gewone gebruiker van het systeem.

Doelen van laundry bear en de impact op Nederland en Europa

De aanvallen van Laundry Bear richten zich voornamelijk op westerse landen, met een speciale focus op de Europese Unie en de NAVO. Het doel van de aanvallen is vaak spionage, waarbij de actor gevoelige informatie probeert te verkrijgen die van strategisch belang is voor Rusland. De aanvallen zijn vooral gericht op de militaire en defensiesector, zoals luchtvaarttechnologiebedrijven, defensiebedrijven en bedrijven die betrokken zijn bij de wapenlevering aan Oekraïne. Dit toont aan dat Laundry Bear nauw samenwerkt met bredere geopolitieke doelstellingen van de Russische overheid.

In Nederland is de politie een van de slachtoffers geworden van Laundry Bear, maar er zijn aanwijzingen dat ook andere Nederlandse organisaties doelwit zijn geweest. De AIVD en MIVD hebben aangegeven dat de actor gebruik maakt van gestolen inloggegevens en cookies om toegang te krijgen tot gevoelige netwerken. Het is waarschijnlijk dat Laundry Bear niet alleen de politie, maar ook andere overheidsinstellingen en private bedrijven in Nederland heeft getroffen. Dit maakt de dreiging van deze actor niet alleen relevant voor overheidsinstanties, maar voor het bredere bedrijfsleven en de samenleving als geheel.

Op Europees niveau heeft Laundry Bear zijn aanvallen gericht op landen die direct betrokken zijn bij de Oekraïense crisis en andere strategische belangen van Rusland. De actor heeft zich waarschijnlijk gericht op defensiebedrijven die militaire technologie ontwikkelen, zoals bedrijven die betrokken zijn bij de productie van wapens of het leveren van technologie aan Oekraïne. Deze cyberoperaties zijn bedoeld om informatie te verkrijgen die van invloed kan zijn op de geopolitieke situatie, met als doel de Russische belangen te beschermen en uit te breiden.

Versterking van de digitale weerbaarheid tegen laundry bear

In reactie op de dreiging van Laundry Bear hebben de AIVD en MIVD een reeks aanbevelingen gedaan om de digitale weerbaarheid van organisaties te vergroten. Deze maatregelen zijn essentieel om te voorkomen dat soortgelijke aanvallen in de toekomst plaatsvinden. De eerste aanbeveling is het gebruik van multi-factor authenticatie (MFA) voor alle systemen die gevoelige informatie bevatten. MFA zorgt ervoor dat een aanvaller niet alleen toegang heeft tot een account door een wachtwoord te verkrijgen, maar dat er aanvullende verificatiestappen nodig zijn om toegang te krijgen.

Daarnaast wordt organisaties geadviseerd om hun systemen te monitoren op verdachte activiteiten, zoals ongebruikelijke inlogpogingen of onverklaarbare toegangspogingen tot gevoelige gegevens. Het implementeren van een zero-trustarchitectuur is een andere belangrijke stap. Hierbij wordt elke gebruiker of apparaat binnen het netwerk als potentieel onbetrouwbaar beschouwd, tenzij deze expliciet geverifieerd is. Dit voorkomt dat aanvallers ongehinderd toegang kunnen krijgen tot vertrouwelijke informatie.

Verder wordt het periodiek uitvoeren van beveiligingsaudits aanbevolen, evenals het versterken van de beveiliging van e-mailomgevingen. Aangezien Laundry Bear bekend staat om het stelen van gegevens via e-mailomgevingen en cloudsystemen, is het essentieel dat organisaties maatregelen treffen om hun e-mailverkeer te versleutelen en bescherming tegen phishing-aanvallen te bieden. Het trainen van medewerkers om verdachte e-mails en activiteiten te herkennen is daarbij ook cruciaal.

De toekomstige dreiging van laundry bear en cyberespionage

De AIVD en MIVD beschouwen Laundry Bear als een nieuwe en potentieel gevaarlijke cyberactor die in de toekomst steeds geavanceerdere technieken kan ontwikkelen. Hoewel de actor nu gebruik maakt van relatief eenvoudige technieken, is het waarschijnlijk dat Laundry Bear in staat zal zijn om complexere aanvalsmethoden te implementeren naarmate zijn ervaring toeneemt. Dit betekent dat de dreiging van cyberespionage door Laundry Bear in de toekomst mogelijk groter zal worden.

Omdat de actor sterk gericht is op strategische informatie en spionage, is het mogelijk dat Laundry Bear een grotere rol zal spelen in de bredere geopolitieke cyberoorlogvoering. De informatie die de actor verwerft, kan van invloed zijn op politieke en militaire besluitvorming, vooral in verband met de voortdurende oorlog in Oekraïne. Dit benadrukt de urgentie voor landen en organisaties om zich voor te bereiden op toekomstige cyberaanvallen van deze en andere soortgelijke actoren.

Wat is?

• Wat is een Living off the Land-techniek?
  Living off the Land (LOTL) is een techniek waarbij een cyberaanvaller gebruik maakt van de bestaande tools en systemen die al aanwezig zijn op het netwerk van het slachtoffer, in plaats van nieuwe, vaak makkelijker te detecteren malware te installeren. Deze techniek maakt het moeilijker voor beveiligingssystemen om de aanval te detecteren, omdat de aanvaller lijkt te werken met legitieme middelen.
• Wat is phishing?
  Phishing is een techniek waarbij een aanvaller zich voordoet als een vertrouwde bron (zoals een bank, bedrijf of zelfs een collega) om iemand te misleiden tot het prijsgeven van vertrouwelijke informatie, zoals wachtwoorden of creditcardgegevens. Dit gebeurt vaak via e-mail, waarin de aanvaller een valse link of bijlage verstuurt.
• Wat is password spraying?
  Password spraying is een aanval waarbij een aanvaller probeert toegang te krijgen tot veel verschillende accounts door een paar veelgebruikte wachtwoorden uit te proberen. In tegenstelling tot brute force-aanvallen, waarbij veel verschillende wachtwoorden snel op één account worden geprobeerd, probeert password spraying hetzelfde wachtwoord op meerdere accounts, wat de kans vergroot dat het wachtwoord op een van de accounts correct is.
• Wat is een authenticatietoken?
  Een authenticatietoken is een stukje informatie dat door een systeem wordt gebruikt om te bevestigen dat een gebruiker echt is wie hij zegt te zijn. Het token wordt vaak gegenereerd na een succesvolle login en kan bestaan uit een stukje code of een sessiecookie. Aanvallers kunnen dit token stelen om toegang te krijgen tot een systeem zonder opnieuw in te loggen.
• Wat is een zero-trustarchitectuur?
  Zero trust is een beveiligingsmodel dat ervan uitgaat dat geen enkele gebruiker of apparaat, zelfs niet binnen het interne netwerk van een organisatie, automatisch vertrouwd is. Alles moet steeds opnieuw worden geverifieerd voordat toegang wordt verleend. Dit model helpt voorkomen dat aanvallers onopgemerkt toegang krijgen tot gevoelige systemen of gegevens, zelfs als ze al binnen het netwerk zitten.
• Wat is MFA (Multi-Factor Authentication)?
  Multi-Factor Authentication (MFA) is een beveiligingsmaatregel die meerdere vormen van identificatie vereist om toegang te krijgen tot een systeem. Dit kan een combinatie zijn van iets wat je weet (zoals een wachtwoord), iets wat je hebt (zoals een smartphone voor een bevestiging), of iets wat je bent (zoals een vingerafdruk of gezichtsherkenning). MFA biedt extra bescherming tegen aanvallen die alleen gebruik maken van wachtwoorden.
• Wat is een cookie?
  Een cookie is een klein bestand dat door een website op je computer wordt geplaatst. Het wordt gebruikt om je voorkeuren of inloggegevens op te slaan, zodat je bijvoorbeeld automatisch ingelogd blijft bij je volgende bezoek. Aanvallers kunnen gestolen cookies gebruiken om toegang te krijgen tot accounts zonder opnieuw inloggegevens in te voeren.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Meer recente artikelen van Cybercrimeinfo