Microsoft dankt AIVD en MIVD voor onderzoek naar Laundry Bear
Microsoft heeft de Nederlandse inlichtingen- en veiligheidsdiensten AIVD en MIVD bedankt voor de samenwerking bij het onderzoek naar een groep aanvallers genaamd Laundry Bear, die door het techbedrijf Void Blizzard wordt genoemd. Gisteren lieten de AIVD en MIVD weten dat de groep verantwoordelijk is voor het datalek bij de politie van vorig jaar.
Volgens Microsoft is Void Blizzard in ieder geval sinds vorig jaar april actief. De groep maakt geen gebruik van geraffineerde aanvalsmethodes, maar is wel effectief in het krijgen van toegang tot organisaties en het stelen van informatie, aldus Microsoft in een analyse. Zo maakt de groep onder andere gebruik van gestolen inloggegevens, die vermoedelijk via infostealer-malware zijn verkregen. Vervolgens worden grote hoeveelheden bestanden en e-mails buitgemaakt.
Sinds april van dit jaar maakt de groep volgens Microsoft ook gebruik van spearphishing voor het stelen van inloggegevens. Bij deze aanvallen ontvingen twintig NGO's in Europa en de Verenigde Staten een 'persoonlijke uitnodiging' voor een Europese veiligheids- en defensieconferentie. De e-mails waren voorzien van een PDF-bijlage met een malafide QR-code. Deze QR-code wees naar een typosquatting domein, dat leek op de Microsoft Entra authenticatieportal.
Microsoft vermoedt dat de groep voor het uitvoeren van man-in-the-middle-aanvallen een open source framework gebruikt genaamd Evilginx. Daarmee kunnen inloggegevens en sessiecookies van het doelwit worden gestolen. Zodra de aanvallers toegang hebben gebruiken ze legitieme cloud API's, zoals Exchange Online en Microsoft Graph, om mailboxes van gebruikers en in de cloud gehoste bestanden te enumereren. Bij een aantal aanvallen probeerden de aanvallers ook toegang te krijgen tot Microsoft Teams-gesprekken en berichten die via de Microsoft Teams-webapplicatie werden uitgewisseld. In de analyse van Void Blizzard doet Microsoft ook verschillende aanbevelingen om aanvallen door de groep tegen te gaan.
Jemig, geraffineerd is de aanval zeker niet. Maar doeltreffend wel, als dit de hack is die persoonsgegevens van politiemedewerkers gestolen heeft. Vermoed haast opzet bij "het lek".
Nee, MS heeft het nooit over beren, maar over stormen. Best mooie analogie, als een hack om cloud abuse gaat.
Dat met die beren is een ander onderonsje, voor MS is het Void Blizzard. Een juridische storm in een glas water, zeg maar, die wasbeer van de AIVD-MIVD.
ING vandaag weer in het nieuws over vernietigen witwasgegevens, het zal allemaal wel weer. In de discussie van gisteren werd de suggestie oorlogseconomie gedaan.
https://www.security.nl/posting/889646/Russische+hackersgroep+%27Laundry+Bear%27+achter+cyberaanvallen+op+Nederlandse+politie%2C+NATO+en+andere+europese+doelen
Speculatie vanaf de zijlijn over wat mogelijk of waarschijnlijk is, organisaties als MIVD-AIVD hebben vast met de voorzet die Microsoft een dag erna inkopt hun huid weten te redden. Krantenlezers op ambassades gniffelen in hun vuistje of zijn onthutst omdat ze ernaast zaten, of weten nu echt zeker dat MIVD-AIVD in dit dossier (wat het ook mag wezen) niet of wel een betrouwbare partner was.
Ik ben benieuwd of in de Kamercommissie Stiekem ook smartphone gebruik verboden is door de heer Schoof. Of dat de leden met een burner telefoon met een gratis simmetje (of zonder, als die al is gehackt en overgenomen is) op trillen bij de eerst volgende bijeenkomst een presentatie krijgen van hoofd automatisering om in lekentaal uitgelegd te krijgen wat er nou toch bij de politie gebeurd is.
Mijn vermoeden is, dat de politie een ambtsbericht van de AIVD heeft gekregen in een bepaald onderzoek dat nog in de opsporingsfase is. Met daarin een naam van een eigen medewerker, of eentje van een buitenlandse dienst. En AIVD-ers bij de politie ter plaatse geïnformeerd en gewaarschuwd zijn over het verder "mogelijk en waarschijnlijk" verloop van dit strafrechtelijk onderzoek.
Het is geen 2005 meer...
Het is geen 2005 meer...
Nis2 heeft het over een beleidsmatige keuze te maken voor al dan niet toestaan eigen devices -naast aanbevolen netwerksegmentatie. Dus dat schiet allemaal nog niet zo heel erg op.
https://www.digitaltrustcenter.nl/nis2/beveiliging-netwerk-en-systemen
Op werk devices gaat ook wel eens iets mis.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Online Tech event @Rijksoverheid #security
Benieuwd hoe het is om als securityspecialist bij de Rijksoverheid te werken? Tijdens dit online event op 2 juni hoor je hoe security-specialisten bijdragen aan de veiligheid van Nederland, wat hun werk inhoudt en welke vacatures er zijn. Meld je aan voor een gratis ticket.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?