Publicatie van AIVD en MIVD over Laundry Bear
De Algemene Inlichtingen- & Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD) hebben een publicatie over Laundry Bear uitgebracht. Deze actor is onder andere betrokken geweest bij de digitale aanval op de politie in september 2024. De publicatie beschrijft de manier waarop de actor te werk gaat en welke maatregelen je kunt nemen om je organisatie tegen de waargenomen aanvallen te beschermen.
Volgens de AIVD en MIVD is Laundry Bear sinds 2024 verantwoordelijk voor het uitvoeren van cyberoperaties tegen westerse overheden. Ze tonen in het bijzonder interesse in de krijgsmacht, specifieke overheidsorganisaties, defensie(toe)leveranciers, sociaal-maatschappelijke organisaties en digitale dienstverleners.
De actor gebruikt gangbare aanvalstechnieken om systemen te compromitteren. Zo zetten ze passwordspraying in, maken ze sessiecookies buit en passen ze Living-off-the-Land-technieken (LotL) toe.
Organisaties die vallen onder de hierboven beschreven sectoren, dienen op de hoogte te zijn van deze publicatie en adviseren we sterk de genoemde maatregelen te implementeren. Omdat het gaat om gangbare aanvalstechnieken, adviseren we ook organisaties die buiten deze sectoren vallen de voorgestelde maatregelen toe te passen.
De volledige publicatie, inclusief het technische rapport, is te vinden op de website van de AIVD en MIVD.
Belangrijke maatregelen om jouw digitale weerbaarheid te verhogen
Een aantal belangrijke maatregelen die je als organisatie kunt treffen, zijn:
- Richt phishingresistente multifactor-authenticatie (MFA) in.
Dit voorkomt dat een kwaadwillende via phishing sessiecookies kan buitmaken en op die manier accounts van gebruikers kan overnemen. Gebruik daarnaast lange en sterke wachtwoorden, en faciliteer medewerkers eventueel in het gebruik van een wachtwoordmanager.
- Richt voorwaardelijke toegang (conditional access) in.
Beperk de IP-adressen, geografische locaties en apparaten waarvandaan gebruikers kunnen inloggen. Monitor verdachte inlogpogingen en onderzoek deze, bijvoorbeeld wanneer in een kort tijdsbestek een grote hoeveelheid inlogpogingen plaatsvindt. Blokkeer IP-adressen (tijdelijk of permanent) waarvandaan verdachte inlogpogingen zijn gedetecteerd.
- Beheer sessiecookies.
Zorg ervoor dat elke sessiecookie maar vanaf één IP-adres kan worden gebruikt. Dwing via beveiligingsbeleid af dat sessiecookies regelmatig uit browsers worden verwijderd (bijvoorbeeld dagelijks). Beperk de levensduur van sessiecookies zo veel mogelijk.
- Beheer apparaten en gebruik geen Bring-Your-Own-Device (BYOD).
Zorg dat elk apparaat dat toegang tot je IT-omgeving heeft door je organisatie wordt beheerd. Richt Endpoint Detectie en Response (EDR) in zodat je verdachte gedragingen kunt detecteren en hierop kunt reageren.
- Investeer in bewustwordings- en trainingsprogramma's.
Zo zorg je ervoor dat medewerkers alert zijn op phishingaanvallen en social engineering, en dat ze weten wat ze in dit soort situaties moeten doen.
- Pas de vijf basisprincipes toe.
Veel van de bovenstaande maatregelen sluiten aan op de vijf basisprincipes van digitale weerbaarheid, opgesteld door het NCSC. Deze principes beschermen je organisatie in bredere zin tegen digitale aanvallen. Meer informatie over de vijf basisprincipes is te vinden op de website van het NCSC.