Wasbeer

Afbeelding via Unsplash

Als ik hier ga hebben over laundry bear, dan denk je waarschijnlijk dat mijn Engels wel erg rammelt, omdat ik lijk te denken dat dit de vertaling is voor wasbeer. Terwijl dat beestje in die taal raccoon heet. Maar ik heb het helemaal niet over iemand uit de fauna. Nee, dit gaat over georganiseerde hackers.

Deze laundry bear is ‘zeer waarschijnlijk’ een ‘Russische staatsgesteunde cyberactor’, aldus de inlichtingendiensten in een publicatie uit mei 2025. In gewoon Nederlands: een groepering die cyberaanvallen uitvoert met de zegen – en waarschijnlijk ook het geld – van de Russische regering. Dergelijke groeperingen vind je in diverse landen, en als ze geïdentificeerd worden, krijgen ze een naam opgeplakt. Dat gebeurt niet volgens een algemeen erkende naamgevingsconventie, maar een vaak gebruikte werkwijze is dat alles wat (vermoedelijk) uit Rusland komt een bear is, China heeft de panda, Iran de kitten en Noord-Korea de chollima (dat is een mythisch paard uit de Koreaanse folklore). Overigens zijn dat precies de landen die steeds weer opduiken als we het over staatshackers hebben. Wat dan weer niet betekent dat andere landen hun handen braaf thuis houden.

In dit bijzondere dierenrijk kennen we de fancy bear, de wicked panda, de charming kitten en de stardust chollima, om er maar eens een paar te noemen. Stuk voor stuk groeperingen waar organisaties mee te maken kunnen krijgen als ze iets hebben wat interessant kan zijn voor de sponsoren achter de groeperingen. Dat is vaak informatie, maar het kan ook om geld gaan; vooral Noord-Korea heeft het op westerse deviezen en tegenwoordig vooral op cryptovaluta gemunt.

Laundry bear verzamelt wereldwijd informatie van (overheids-)organisaties en bedrijven, met speciale interesse in de EU en de NAVO. Ze breken in op mail-omgevingen in de cloud. Behalve in de mails zelf zijn ze ook geïnteresseerd in de interne adressenlijst. Ze richten zich op alles wat met de oorlog in Oekraïne te maken heeft. Daarnaast vinden ze bedrijven interessant die hoogwaardige technologie maken, die Rusland door de opgelegde sancties niet kan kopen.

Het is erg moeilijk om een bepaalde activiteit toe te schrijven aan de juiste actor. Die zijn meesters in het leggen van dwaalsporen. Maar soms lukt het wel om deze zogeheten attributie rond te krijgen (al zie je daar meestal toch het woord ‘waarschijnlijk’ nog bij staan). De AIVD en de MIVD schrijven de aanval op de Nederlandse politie in 2024, waarbij contactgegevens van alle politiemedewerkers zijn buitgemaakt, toe aan laundry bear. Ze vermoeden dat ook andere Nederlandse organisaties slachtoffer zijn geworden van deze actor. Tot aan het onderzoek naar de politiehack was laundry bear overigens nog niet bekend. De diensten hebben dus onderkend dat ze met een nieuwe groepering te maken hadden.

Al deze inhoudelijke informatie deelden de inlichtingendiensten vorig jaar in een openbare Cybersecurity Advisory. Daarin sommen ze ook op welke ‘weerbaarheidsbevorderende maatregelen’ organisaties kunnen treffen. Dat zijn tamelijk voor de hand liggende maatregelen. Zo moet je mensen en computers de minimale rechten geven die ze nodig hebben om hun taken uit te voeren. Als zo’n account dan wordt gehackt, dan blijven de mogelijkheden van de aanvaller beperkt tot die rechten. Accounts met hoge rechten moeten gecontroleerd worden uitgegeven en alleen worden gebruikt als die hoge rechten ook echt nodig zijn; beheerders moeten dus niet standaard onder hun beheerdersaccounts werken. Verouderde accounts moeten worden opgeruimd. En je moet je netwerkverkeer versleutelen. De lijst is nog veel langer, maar dan heb je een idee waar het om gaat.

Zo voor de hand liggend als die maatregelen zijn, zoveel moeite hebben sommige organisaties om ze in te voeren. Ze kosten tijd en geld, en de kennis, kunde én de wil is lang niet overal aanwezig om de noodzakelijke maatregelen te treffen. Dat werkt niet anders dan bij jou thuis. Je weet wel dat het huis geschilderd moet worden, maar je komt er niet aan toe of de schilder is te duur. Het is ook een kwestie van prioriteiten stellen.

Doorgaans zijn inlichtingendiensten niet zo scheutig met het openbaar maken van hun informatie. Waarom dan dit openbare advies? Omdat ze wel veel, maar lang niet alles over laundry bear weten. Het is van belang voor het land als geheel dat organisaties weerbaar zijn tegen dergelijke groeperingen. Maar dan moeten ze natuurlijk wel op de hoogte zijn van de dreiging. Bovendien vergroot de publicatie het besef dat er überhaupt dergelijke groeperingen bestaan. De meeste van de genoemde maatregelen helpen ook in de strijd tegen collega’s van laundry bear. Nu maar hopen dat het advies de doelgroep heeft bereikt.

 

En in de grote boze buitenwereld …

• Gaan sommige actoren veel verder dan alleen het verzamelen van informatie.
• Worden Russen ook wel eens getroffen door een cyberaanval.
• Legt dit artikel goed uit wat digitale soevereiniteit voor jou als burger betekent.
• Bericht de buitenlandse pers over een actuele Nederlandse soevereiniteitskwestie.
• Werkt Frankrijk ook aan zijn digitale soevereiniteit.
• Gaan zelfs security-bazen wel eens de fout in.
• Krijgt WhatsApp een lockdown‑mode.
• Ondergaven AI‑agents, die in operating systems zijn ingebouwd, de principes van end‑to‑end beveiliging.
• Leven er wat misverstanden rondom gegevensbescherming.
• Heeft dit artikel het over AI‑speelgoed dat lek was, maar in feite gaat het om een Internet of Things‑misser.
• Is het leven in een Aziatische scam compound zwaar.