#CyberMagazyn: Rosja ma nową grupę. Z czego wynika skuteczność Laundry Bear?

Jak informowaliśmy na naszych łamach, Holenderska Służba Wywiadu i Bezpieczeństwa (AIVD) oraz Holenderska Służba Wywiadu i Bezpieczeństwa (MIVD) po raz pierwszy publicznie ujawniły istnienie dotąd nieznanego rosyjskiego podmiotu cyberszpiegowskiego, któremu nadały kryptonim Laundry Bear. 

Z opublikowanego 27 maja 2025 r. raportu wynika, że grupa działa co najmniej od wiosny 2024 r., koncentrując się głównie na państwach NATO i Unii Europejskiej, a jej celem jest pozyskiwanie informacji mogących wspierać rosyjskie wysiłki wojenne przeciwko Ukrainie.

Pierwszy ślad: atak na holenderską policję

Impulsem do śledztwa był incydent z września 2024 r., kiedy to hakerzy wykradli z globalnej listy adresowej (GAL) służbowe dane kontaktowe pracowników holenderskiej policji.

Przeprowadzona analiza wykazała, że atakujący prawdopodobnie użyli ataku pass-the-cookie, podszywając się pod właściciela pliku cookie, używając pliku skradzionego za pomocą złośliwego oprogramowania infostealer, kupionego na rynku przestępczym. Umożliwiło to atakującemu dostęp do informacji bez nazwy użytkownika i hasła. 

Wiceadmirał Peter Reesink, dyrektor MIVD, którego wypowiedź przytacza serwis internetowy Bleeping Computer, stwierdził: „Widzieliśmy, że ta grupa hakerów z powodzeniem uzyskuje dostęp do poufnych informacji z dużej liczby organizacji (rządowych – red.) i firm na całym świecie. Mają oni szczególny interes w krajach Unii Europejskiej i NATO”. 

Pomimo że zespół dochodzeniowy nie odnalazł dowodów na kradzież innych danych, holenderskie służby bezpieczeństwa są przekonane, że w podobny sposób mogły zostać zaatakowane również inne holenderskie instytucje publiczne.

Skuteczna i prosta technika; TTPs

Laundry Bear stosuje bardzo prostą technikę. Tactics, Techniques & Procedures, czyli trójstopniowy sposób opisywania działań grup APT w cyberbezpieczeństwie, pokazuje sposób działania grupy. 

Taktyki wskazują, dlaczego aktor coś robi – to nadrzędny cel danej fazy ataku, na przykład zdobycie pierwszego dostępu (Initial Access). 

Techniki definiują, w jaki sposób realizowana jest dana taktyka; w przypadku Laundry Bear są to m.in.password spraying, wykorzystanie skradzionych plików cookie oraz phishing.

Procedury opisują dokładnie, jak te techniki są wdrażane w praktyce – obejmują konkretne skrypty, narzędzia i harmonogramy, takie jak automatyczny skrypt wywołujący Outlook Web Access w celu pobrania globalnej listy adresowej (GAL). 

Wybiera więc nieskomplikowane, dobrze znane metody (np. password spray z popularnymi hasłami rodzajuWelcome123), nie tworzy własnego złożonego malware’u i bazuje na narzędziach wbudowanych w system ofiary (living off the land). 

Jednocześnie grupa silnie automatyzuje operacje – rozprasza próby logowania w czasie, błyskawicznie pobiera masowe zbiory e-maili i plików po jednym udanym włamaniu, a także atakuje wiele organizacji równolegle. W rezultacie, mimo braku wyszukanych narzędzi, skala i tempo działań zapewniają Laundry Bear wysoki współczynnik sukcesu, pozwalając jej konkurować z bardziej rozpoznawalnymi sieciami i, takimi jak m.in. APT28.

Analitycy holenderskich służb wywiadowczych zwracają uwagę, że prostota narzędzi idzie tu w parze z wysokim poziomem automatyzacji, dzięki czemu zespół odnotowuje wyjątkowo dużą liczbę skutecznych włamań przy relatywnie niskim nakładzie pracy. 

Laundry Bear = Void Blizzard – perspektywa Microsoftu

Równolegle do publikacji holenderskich służb Microsoft poinformował, że monitoruje tę samą grupę pod nazwą Void Blizzard. Według koncernu, atakujący regularnie kupują skradzione dane uwierzytelniające na rosyjskojęzycznych forach, a od kwietnia 2025 r. zaczęli też stosować ukierunkowany spear-phishing. 

W zidentyfikowanej kampanii rozesłano fałszywe zaproszenia na „Europejski Szczyt Bezpieczeństwa i Obrony” z kodem QR, przekierowującym na domenę micsrosoftonline(.)com, podszywającą się pod portal logowania Microsoft Entra i przechwytującą pliki cookie ofiar.

Microsoft podkreśla, że działalność Void Blizzard (Laundry Bear) „nieproporcjonalnie koncentruje się na państwach członkowskich NATO i Ukrainie”, a zbieżność celów z innymi rosyjskimi grupami – takimi jak Forest Blizzard czy Midnight Blizzard – wskazuje na wspólny interes wywiadowczy służb macierzystych tych aktorów”.

Cele: od ministerstw obrony po dostawców usług IT

Analiza AIVD/MIVD wykazała, że Laundry Bear celuje przede wszystkim w:

• ministerstwa obrony i przedstawicielstwa wojskowe państw NATO,
• kontraktorów zbrojeniowych i firmy lotnicze,
• instytucje unijne i resorty spraw zagranicznych,
• dostawców usług cyfrowych, NGO-sy, media, uczelnie, a sporadycznie także infrastrukturę krytyczną.

Motywem jest szpiegostwo – gromadzenie informacji o produkcji i łańcuchach dostaw sprzętu wojskowego, a także o dostawach uzbrojenia dla Ukrainy.

Służby holenderskie zwróciły też uwagę na zainteresowanie „zaawansowanymi technologiami, których Rosja nie może legalnie pozyskać z powodu sankcji”, co wpisuje się w szerszą rosyjską strategię omijania embarga technologicznego. 

Relacje z APT28 – przecięcie, nie tożsamość

Część stosowanych wektorów ataku – takich jak password spraying – pokrywa się z taktyką APT28 (Unit 26165 GRU). Jednak zarówno AIVD/MIVD, jak i Microsoft podkreślają, że Laundry Bear to osobny byt operacyjny. Wspólne metody wynikają raczej z efektywności prostych technik i możliwości ukrycia się w cieniu bardziej rozpoznawalnych grup.

Kryminalne zaplecze: infostealery i rynek danych

Źródłem przechwyconych cookie i haseł są z reguły commodity-infostealery sprzedawane w modelu as-a-service. W maju 2025 r. Europol i Microsoft przeprowadziły głośną operację przeciwko największemu z nich – Lumma Stealer – przejmując ponad 1300 domen C2 i unieruchamiając panele zarządzające. 

Według Microsoftu tylko między połową marca a połową maja zidentyfikowano 394 000 komputerów zainfekowanych Lummą, która często stanowiła „preludium do dalszych włamań lub ransomware”. 

Tego typu operacje pokazują, że granica między cyberprzestępczością a operacjami wywiadowczymi w rosyjskim ekosystemie jest płynna: rosyjskie służby chętnie kupują gotowe pakiety danych i usługi od podziemia, zamiast samodzielnie prowadzić kosztowne kampanie phishingowe na masową skalę.

Ryzyko dla sojuszników i rekomendacje

Holenderskie służby oceniają poziom zagrożenia szpiegowskiego jako wysoki. Ze względu na szybkość działań i niską barierę technologiczną, Laundry Bear może w krótkim czasie zwiększyć skalę i złożoność ataków, np. przejść od kradzieży e-maili do zaawansowanych kampanii spear-phishingowych z użyciem wcześniej zebranych kontaktów. 

Rekomendacje AIVD/MIVD obejmują m.in. obowiązkowe MFA w oparciu o tokeny FIDO lub aplikacje, rygorystyczne monitorowanie logowań i limitowanie uprawnień kont delegowanych, a także regularny audyt konfiguracji chmurowych API, które atakujący najczęściej nadużywają. Warto też wdrożyć mechanizmy anomalii w Microsoft Graph oraz zero-trust, które utrudniają „lot nad radarem” charakterystyczny dla tej grupy.

Przypadek Laundry Bear pokazuje, że w epoce powszechnej dostępności skradzionych danych uwierzytelniających i usług MaaS nawet relatywnie „proste” TTP, wsparte automatyzacją, pozwalają osiągać spektakularne efekty wywiadowcze. Dla państw NATO oznacza to konieczność stałego podnoszenia higieny cyfrowej – od egzekwowania bezpiecznych haseł po kontrolę sesji i tokenów – oraz ścisłej współpracy między sektorem publicznym a firmami technologicznymi. W przeciwnym razie kolejne rosyjskie sieci hakerskie mogą pozostać w dalszym ciągu w cieniu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].