De inlichtingendiensten AIVD en MIVD maken bekend dat een tot nu toe onbekende Russische cybergroep hacks heeft uitgevoerd op verschillende Nederlandse organisaties, waaronder de politie in september 2024. Dit past bij de bevindingen van het opsporingsonderzoek dat het Team High Tech Crime direct na de hack startte, onder gezag van het OM. Recent maakten zij een deel van de digitale infrastructuur die door deze hackersgroep werd gebruikt, ontoegankelijk.

Korpschef Janny Knol informeerde per mail alle politiemedewerkers over deze nieuwe ontwikkelingen. “Hoewel dit nieuws niet voor iedereen als een verrassing komt, kan het natuurlijk iets doen met je gevoel van veiligheid”, stelt zij daarin. “Uiteraard hebben we daar aandacht voor.” De politie heeft daarom opnieuw een servicepunt ingericht waar medewerkers terecht kunnen met zorgen en vragen. De korpschef bedankte iedereen die een bijdrage leverde aan het onderzoek: “Jullie leverden een huzarenstukje.”

Impact
Bij de hack op de politie werd de Global Address List buitgemaakt. Daarin stonden de werkgerelateerde contactgegevens van politiemedewerkers en enkele ketenpartners. “De impact daarvan zowel op onze organisatie als de collega’s”, was groot”, vertelt Stan Duijf, hoofd Operatiën bij de eenheid Landelijke Opsporing en Interventies (LO), en verantwoordelijk voor cybercrime bij de politie. In stilte werden direct forse aanvullende beveiligingsmaatregelen genomen. Tegelijkertijd startte het Team High Tech Crime (THTC) een opsporingsonderzoek naar de daders. De uitkomsten daarvan ondersteunen de vandaag door de inlichtingendiensten gepubliceerde informatie. Daaruit blijkt dat de hackersgroep – die van de diensten de naam ‘LAUNDRY BEAR’ kreeg – cyberaanvallen uitvoerde op bedrijven en organisaties in ruim veertig westerse landen. Veel slachtoffers werden op een vrij generieke manier gemaakt. “De politie was één van de vele getroffen organisaties van deze hackersgroep”, zegt Duijf.

Verstoren
“Hoewel de groepering achter de hack is geïdentificeerd, hebben we nu onvoldoende mogelijkheden om over te gaan tot succesvolle vervolging van concrete verdachten”, zegt John Lucas, hoofdofficier van justitie, Landelijk Parket. Wel heeft de LO eerder deze week een deel van de criminele infrastructuur geblokkeerd. “We hebben vanuit het opsporingsonderzoek zicht gekregen op de werkwijze van deze criminelen. Ook hebben we een deel van de infrastructuur ontoegankelijk gemaakt, door accounts van de diensten die zij gebruiken, te blokkeren”, legt Duijf uit. “Als het gaat om cyberoperaties werken we samen met partners om het gehele ecosysteem van cybercriminele diensten die dit soort criminelen faciliteert, duurzaam te verstoren. Zoals recent nog bij Operation Endgame.”

Infostealer-malware
Bij de hack op de politie werd gebruik gemaakt van een zogenoemde ‘pass-the-cookie-aanval’. Een pass-the-cookie-aanval zorgt ervoor dat de aanvaller een actieve sessie van een account overneemt met de daarbij behorende rechten. Voor zo’n aanval is een toegangstoken nodig die via malware buitgemaakt wordt. De toegangstoken waarmee bij de hack op de politie succesvol op een politieaccount is ingelogd, is buitgemaakt door zogenaamde infostealer-malware. Infostealer-malware wordt op grote schaal ontwikkeld en verspreid door cybercriminelen en de verkregen gegevens worden veelvuldig verkocht voor diverse criminele doeleinden zoals ransomware, het stelen van cryptovaluta en data-exfiltratie.

Gezamenlijke aangelegenheid
In het onderzoek naar de toedracht en de daders achter de datadiefstal werkte het THTC samen met Dienst Informatievoorziening (IV) en regionale eenheden. Niet alleen binnen de politie, maar ook daarbuiten waren meerdere partijen bezig met onderzoek naar de datadiefstal”, vertelt Duijf. “Zoals publieke en private partners en opsporingsdiensten uit het buitenland. We zijn blij met deze hulp en samenwerking. De AIVD en MIVD hebben het incident destijds geïdentificeerd en de politie hierover geïnformeerd, zodat wij maatregelen konden treffen. Ten aanzien van digitale veiligheid ondersteunt de AIVD ons op het gebied van informatiebeveiliging. Bestrijding van cyberaanvallen is per definitie een complex geheel met actoren op verschillende niveaus, volgens Duijf. “Het internet is een complex netwerk, waarbij landsgrenzen er niet toe doen. Dit maakt opsporing naar cybercrimefeiten vrijwel altijd een gezamenlijke én internationale aangelegenheid.”

Alert blijven
Het is belangrijk voor organisaties om zich goed te (blijven) wapenen tegen dergelijke cyberaanvallen en deze vorm van spionage. Buitgemaakte data van slachtoffers kan bovendien gebruikt worden om vervolgaanvallen mee te plegen. Het is daarom belangrijk om alert te zijn en te blijven. “We moeten ons allemaal bewust zijn van onze digitale kwetsbaarheid. Dat hoort bij de realiteit van vandaag”, legt Duijf uit. “We kunnen simpelweg ‘de deur’ niet helemaal dichtzetten, maar we kunnen ons wel zo goed mogelijk proberen te wapenen tegen cyberaanvallen. De informatie die nu door de inlichtingendiensten is vrijgegeven helpt ons en andere organisaties bij het vergroten van die weerbaarheid.”

Weerbaarheid
Slachtoffer worden van een cyberaanval is tegenwoordig helaas geen uitzonderlijke situatie meer, stelt Duijf. “Veel mensen en organisaties krijgen hiermee te maken. Nederland wordt volgens de AIVD doorlopend geconfronteerd met cyberaanvallen door landen met een offensief cyberprogramma. We moeten onszelf hier nog beter tegen wapenen.”