Theo cảnh sát quốc gia Hà Lan (Politie) tiết lộ vào năm ngoái, những kẻ tấn công đã đánh cắp thông tin liên lạc liên quan đến công việc của nhiều sĩ quan, bao gồm tên, địa chỉ email, số điện thoại và trong một số trường hợp là thông tin cá nhân.

Cục Tình báo và An ninh Hà Lan (AIVD) và Cục Tình báo và An ninh Quốc phòng Hà Lan (MIVD) đã liên hệ Laundry Bear với vụ vi phạm này trong một khuyến cáo chung được ban hành vào thứ Ba vừa qua,  trong đó cảnh báo rằng, rất có khả năng những tin tặc đến từ Nga cũng đã vi phạm các tổ chức khác của Hà Lan.

Theo nội dung khuyến cáo, Laundry Bear đã truy cập vào tài khoản của một nhân viên cảnh sát Hà Lan vào tháng 9/2024 và đánh cắp thông tin liên lạc liên quan đến công việc thông qua Danh sách địa chỉ toàn cầu (GAL).

Cuộc điều tra cho thấy những kẻ tấn công có khả năng đã sử dụng một cuộc tấn công pass-the-cookie, mạo danh chủ sở hữu bằng cách sử dụng cookie bị đánh cắp thông qua phần mềm độc hại đánh cắp thông tin và mua trên một thị trường tội phạm. Điều này cho phép tác nhân đe dọa truy cập thông tin mà không cần tên người dùng hoặc mật khẩu.

"Chúng tôi đã thấy nhóm tin tặc này thành công trong việc truy cập vào thông tin nhạy cảm từ một số lượng lớn các tổ chức và công ty (chính phủ) trên toàn thế giới. Chúng đặc biệt quan tâm đến các quốc gia thuộc Liên minh châu Âu và NATO", Phó đô đốc Peter Reesink, giám đốc MIVD cho biết.

"Laundry Bear đang theo dõi thông tin về việc mua và sản xuất thiết bị quân sự của các chính phủ phương Tây và việc phương Tây giao vũ khí cho Ukraine".

Laundry Bear là ai?

Cũng được Microsoft theo dõi với tên Void Blizzard, nhóm tin tặc này đã hoạt động ít nhất từ ​​tháng 4/2024 và tập trung vào việc nhắm mục tiêu vào các quốc gia thành viên Ukraine và NATO trong các cuộc tấn công liên quan đến các mục tiêu chiến lược của Nga.

Chiến thuật, kỹ thuật và thủ tục (TTP) của tin tặc đến từ Nga bao gồm sử dụng thông tin xác thực bị đánh cắp và email lừa đảo để xâm phạm hệ thống phòng thủ của mục tiêu.

Khi đã xâm nhập, chúng đã bị phát hiện đang thu thập và đánh cắp các tệp và email từ hệ thống bị xâm phạm của nạn nhân.

"Các hoạt động gián điệp mạng của Void Blizzard có xu hướng nhắm mục tiêu cao vào các tổ chức cụ thể, bao gồm các tổ chức trong chính phủ, quốc phòng, giao thông vận tải, truyền thông, các tổ chức phi chính phủ (NGO) và các lĩnh vực chăm sóc sức khỏe chủ yếu ở Châu Âu và Bắc Mỹ", Microsoft cho biết trong một báo cáo hôm thứ Ba.

"Đặc biệt, hoạt động mạnh mẽ của tác nhân đe dọa này chống lại các mạng lưới trong các lĩnh vực quan trọng gây ra rủi ro cao hơn cho các quốc gia thành viên NATO và các đồng minh của Ukraine nói chung".

Laundry Bear đã xâm phạm các tổ chức trong nhiều lĩnh vực khác nhau ở Ukraine, bao gồm giao thông vận tải và quốc phòng. Vào tháng 10/2024, họ cũng đã xâm phạm tài khoản người dùng tại một tổ chức hàng không của Ukraine trước đó đã bị APT44 (Seashell Blizzard) nhắm mục tiêu vào năm 2022, được cho là có liên quan đến Tổng cục Tình báo Bộ Tổng tham mưu Nga (GRU).