De werkwijze van het Russische Void Blizzard is door Microsoft onthuld. Met hulp van de Nederlandse inlichtingendiensten AIVD en MIVD is deze groep in detail gebracht. Na een jaar aan aanvallen op kritieke infrastructuur in Nederland is er hoop op verbetering.
Vooral Oekraïne en NAVO-landen belanden in het vizier van Void Blizzard, zoals Microsoft het noemt. In de naamgeving van de AIVD/MIVD en FBI heet het collectief Laundry Bear. De groep heeft het met name gemunt op kritieke infrastructuur voor spionagedoeleinden. Dat is de conclusie van Microsoft’s Threat Intelligence-groep, dat tevens een gedragsverandering sinds april heeft gedetecteerd. Zo begon de hackersgroep directere methodes toe te passen voor hun aanvallen, zoals het stelen van wachtwoorden via phishing-mails.
Naast de AIVD en MIVD werkte ook de FBI samen met Microsoft’s team. De Nederlandse tint komt niet vanzelf: veel doelwitten vonden in Nederland plaats. Zo werd onder meer de politie in september 2024 geraakt, zoals de AIVD in de eigen berichtgeving meldt. Echter zijn de ambities van Void Blizzard/Laundry Bear groter dan alleen het verstoren van kritieke diensten in Nederland, met doelwitten in de gezondheidszorg, telecomsector, media, transport en meer. De rode draad is dat de groep doelwitten uit lijkt te kiezen die overeenkomen met de wensen van Rusland. In vrij algemene zin is de disruptie van de normale gang van zaken in NAVO-landen en Oekraïne al een speerpunt voor de regering in Moskou.
Brede aanvalsscala
Microsoft concludeert dat Void Blizzard met deze aanvallen “zeer waarschijnlijk informatie verzamelt ter ondersteuning van Russische strategische doelstellingen”. De hackersgroep gebruikt hoofdzakelijk gestolen inloggegevens die het waarschijnlijk koopt op criminele marktplaatsen. Deze methode stelt de groep in staat om op grote schaal toegang te verkrijgen tot organisaties. Eenmaal binnen stelen ze grote hoeveelheden e-mails en bestanden.
In april van dit jaar observeerde Microsoft een belangrijke escalatie. De groep begon gerichte spear phishing-aanvallen uit te voeren, waarbij valse uitnodigingen voor de European Defense and Security Summit werden verstuurd. Een bijgevoegde PDF bevatte een QR-code die slachtoffers naar een valse Microsoft Entra-inlogpagina leidde.
Nederlandse connectie
De samenwerking met Nederlandse diensten is niet toevallig. Russische cyberactiviteiten richten zich steeds vaker op westerse landen die Oekraïne steunen. Nederland vormt vanwege zijn strategische positie en doorvoerhavens een bijzonder aantrekkelijk doelwit voor Russische spionage-operaties.
Microsoft benadrukt dat Void Blizzard overlappende doelwitten heeft met andere bekende Russische groepen zoals Forest Blizzard, Midnight Blizzard en Secret Blizzard. Dit suggereert gedeelde spionage-interesses binnen de Russische inlichtingendiensten.
Simpele maar effectieve methoden
Hoewel Void Blizzard geen geavanceerde technieken gebruikt, zijn ze bijzonder succesvol. De groep maakt gebruik van password spraying en misbruikt legitieme cloud-API’s van diensten als Exchange Online en Microsoft Graph. “Ondanks het gebrek aan verfijning in hun toegangsmethoden, is Void Blizzard effectief gebleken in het verkrijgen van toegang tot organisaties in kritieke sectoren”, aldus Microsoft.
De aanvallers automatiseren grotendeels de verzameling van cloudgegevens. Ze kunnen toegang krijgen tot gedeelde mailboxen en bestanden van meerdere gebruikers binnen een gecompromitteerde organisatie. In sommige gevallen hebben ze ook Microsoft Teams-gesprekken en -berichten onderschept via de webclient.
Bescherming en detectie
Microsoft adviseert organisaties verschillende maatregelen te nemen. Multi-factor authenticatie (MFA) blijft essentieel, hoewel bepaalde aanvallen proberen dit te omzeilen. Phishing-resistente authenticatiemethoden zoals FIDO-tokens worden aangeraden boven telefonie-gebaseerde MFA.
Ook het identiteitsbeheer in orde houden, is van groot belang. Immers is het anders onmogelijk om uit te sluiten dat een account is overgenomen. Dit maakt het mogelijk om verdachte inlogactiviteiten beter te monitoren. Het toenemende aantal offensieve cyberprogramma’s wereldwijd maakt dergelijke voorzorgsmaatregelen steeds belangrijker.
Voor organisaties die vermoeden slachtoffer te zijn geworden, raadt Microsoft aan om alle accounts die mogelijk zijn gecompromitteerd nieuwe credentials te geven en verdachte activiteiten via Microsoft Graph API te controleren. De detectieregels van Microsoft Defender XDR kunnen helpen bij het identificeren van Void Blizzard-activiteiten.