Onderzoekers van de Algemene Inlichtingen en Veiligheidsdienst (AIVD) en Militaire Inlichtingen en Veiligheidsdienst (MIVD) leggen de technische ‘werkwijze’ van een Russisch hackerscollectief bloot. Die groep maakte in september 2024 de namen, emailadressen en zakelijke telefoonnummers van vrijwel het hele korps (65.000 medewerkers) buit. De tot nu toe onbekende Russisch groep is door de inlichtingendiensten Laundry Bear gedoopt.
Die groep voert sinds 2024 cyberoperaties uit tegen westerse overheden en instellingen, zoals krijgsmachten, overheden, defensieleveranciers, maatschappelijke organisaties en ict-dienstverleners. Daarnaast voeren ze cyberspionage uit op bedrijven die hoogwaardige technologie produceren, delen de diensten. Door westerse sancties heeft Rusland namelijk beperkt toegang tot deze technologieën.
‘Onderzoek wijst uit dat de cyberbende ook kijkt naar mailaccounts die accounts voor anderen beheren, zogenoemde delegates. Bij succesvolle aanvallen weet Laundry Bear zijn toegang binnen de Microsoftomgeving van het slachtoffer uit te breiden waarmee ze zeer waarschijnlijk e-mails en andere informatie binnen deze omgeving weet te verzamelen’, licht de AIVD in een rapport toe.
Technisch onderzoek toont aan dat de hackersgroep op grote schaal e-mailverkeer van slachtoffers heeft buitgemaakt. In enkele gevallen wisten ze ook data uit Microsoft SharePoint-omgevingen buit te maken. Er wordt niet gedeeld of dat ook bij de politie het geval was. De diensten constateren dat de hackersgroep bekende kwetsbaarheden gebruikt om inloggegevens te verzamelen voor vervolgoperaties. Omdat Laundry Bear zich waarschijnlijk beperkt tot bestaande toegang tot Microsoft-accounts en geen diepere systemen binnendringt, blijft de groep langer onopgemerkt. De diensten werkten samen met Microsoft om het misbruik van die veelgebruikte systemen van die Amerikaanse leverancier te beperken. De AIVD deelt onder meer details over tactieken, technisch id’s en namen van gebruikte technologieën (pagina 5 van het rapport). Ook tactieken zoals het stelen van websessie-cookies en brute force-tactieken zoals password-spraying komen aan bod. Ook worden aanbevelingen gedaan om dergelijke aanvallen af te slaan.
Bewuste keuze
‘We kiezen er bewust voor om de werkwijze bloot te leggen’, zegt directeur-generaal Erik Akerboom van de AIVD. Hij hoopt dat overheden, maar ook fabrikanten, leveranciers en andere doelwitten zich daardoor beter kunnen wapenen tegen deze vorm van spionage en dat de slagingskans van de hackersgroep ingeperkt wordt. Bij de grote hack op de politie in september 2024 werd de Global Address List buitgemaakt met de werkgerelateerde contactgegevens van politiemedewerkers en een aantal ketenpartners. Daarin stonden namen, e-mailadressen en telefoonnummers. Eind 2024 werd al bekend dat het om een pass-the-cookie-aanval gaat.
Korpschef Janny Knol heeft 27 mei 2025 per mail alle politiemedewerkers geïnformeerd over de nieuwe details die door de inlichtingendiensten zijn gedeeld. ‘Hoewel dit nieuws niet voor iedereen als een verrassing komt, kan het natuurlijk iets doen met je gevoel van veiligheid’, stelt Knol daarin. De politie heeft opnieuw een servicepunt ingericht waar medewerkers terecht kunnen met zorgen en vragen. De korpschef bedankte iedereen die heeft bijgedragen aan het onderzoek: ‘Jullie leverden een huzarenstukje.’
In een video (onderaan artikel) legt de politie uit dat een deel van de infrastructuur en accounts waarmee de criminelen werkten onbruikbaar is gemaakt.
