In september 2024 werd de Nederlandse politie getroffen door een gerichte cyberaanval. Inmiddels is door AIVD en MIVD met hoge waarschijnlijkheid gesteld dat een Russische hackersgroep, door de inlichtingendiensten ‘Laundry Bear’ genoemd, verantwoordelijk is.
Wat is er gebeurd?
De aanvallers maakten gebruik van infostealer-malware, vermoedelijk verkregen via criminele marktplaatsen, om cookies buit te maken. Via een ‘pass-the-cookie-aanval’ namen de hackers een actieve sessie van een politieaccount over, inclusief bijbehorende rechten. De buit: onder meer de interne adreslijst met contactgegevens van politiemedewerkers. Volgens de politie en inlichtingendiensten zijn er geen aanwijzingen dat andere gevoelige data zijn buitgemaakt, al wordt aangenomen dat ook andere Nederlandse organisaties slachtoffer zijn geworden.
De hackersgroep voerde in 2024 cyberaanvallen uit tegen defensie-, lucht- en ruimtevaarttechnologiebedrijven die militair materiaal produceren. Onderzoek laat zien dat de hackgroep waarschijnlijk op zoek was naar gevoelige informatie over de aanschaf en productie van militair materiaal door westerse overheden, en westerse wapenleveringen aan Oekraïne.
Waarom is Nederland een doelwit?
Nederland is aantrekkelijk voor statelijke actoren vanwege onze open economie, geavanceerde digitale infrastructuur en centrale rol in internationale netwerken. Onze afhankelijkheid van digitale systemen maakt ons kwetsbaar voor cyberaanvallen die gericht zijn op spionage, sabotage of het verkrijgen van strategische informatie.
“We hebben gezien dat deze hackersgroep succesvol toegang weet te krijgen tot gevoelige informatie van een groot aantal (overheids)organisaties en bedrijven wereldwijd. Ze hebben een specifieke interesse voor landen van de Europese Unie en de NAVO”, vertelt directeur MIVD viceadmiraal Peter Reesink.
Dit vraagt om weerbaarheid, niet alleen om beveiliging
De inlichtingendiensten kwalificeren Laundry Bear als een "actor in opbouw": een dreiging die naar verwachting in de toekomst complexere aanvallen zal uitvoeren. Deze casus laat zien dat absolute veiligheid niet bestaat.
Wat deze casus ook laat zien: er is wél iets mogelijk. De infrastructuur van Laundry Bear is deels offline gehaald. De politie werkte hierbij samen met de AIVD, MIVD en buitenlandse diensten. Verstoren werkt. Informatie delen werkt. Maar dat vereist voorbereiding en volwassenheid op het gebied van digitale weerbaarheid.
Belangrijke maatregelen om je digitale weerbaarheid te verhogen
Het Nationaal Cyber Security Centrum (NCSC) heeft op basis van deze dreiging een aantal belangrijke maatregelen opgesteld die je als organisatie kunt nemen om de risico’s flink te verkleinen:
- Gebruik phishingbestendige multifactor-authenticatie (MFA):
Hiermee voorkom je dat aanvallers met gestolen gegevens kunnen inloggen. Combineer dit met sterke wachtwoorden en overweeg het gebruik van een wachtwoordmanager. - Richt voorwaardelijke toegang (conditional access) in:
Beperk waar en vanaf welke apparaten gebruikers kunnen inloggen (bijvoorbeeld alleen vanuit bekende IP-adressen of locaties) en houd verdachte pogingen, bijvoorbeeld wanneer in een kort tijdsbestek een grote hoeveelheid inlogpogingen plaatsvindt, in de gaten. - Beheer sessiecookies:
Zorg ervoor dat elke sessiecookie maar vanaf één IP-adres kan worden gebruikt. Zorg daarnaast voor een beveiligingsbeleid waarin browser cookies verplicht regelmatig worden verwijderd. Beperk de tijd dat een sessie actief blijft ook zo veel mogelijk. - Beheer apparaten en gebruik geen Bring-Your-Own-Device (BYOD)
Zorg dat elk apparaat dat toegang tot je IT-omgeving heeft door je organisatie wordt beheerd en laat medewerkers geen privéapparaten gebruiken voor werk. Gebruik Endpoint Detection and Response (EDR) om afwijkend gedrag op apparaten te herkennen en hierop te reageren. - Investeer in training en bewustwording:
Zorg dat je medewerkers weten hoe ze phishing en social engineering herkennen en wat ze moeten doen bij een aanval. Mensen blijven een cruciale schakel in je verdediging. - Pas de vijf basisprincipes van het NCSC toe:
Deze vormen de fundamenten van een stevige digitale beveiliging. Ze helpen je risico’s in kaart te brengen, systemen te beschermen en voorbereid te zijn op incidenten.
