荷兰情报机构称俄黑客窃取警方数据，微软发现了其他攻击点

荷兰情报机构周二宣布，一个此前未知的俄罗斯黑客组织去年对荷兰警方发动了网络攻击，并且还将目标锁定为乌克兰提供军事支持的其他西方国家。

该机构在一份报告中表示，这个名为“Laundry Bear（洗衣熊）”的组织正积极试图窃取欧盟和北约国家的敏感数据，并且“极有可能得到俄罗斯政府的支持”。

乌克兰军事情报机构 MIVD 局长、海军中将彼得·里斯克 (Peter Reesink) 在一份声明中表示：“‘洗衣熊’组织正在追踪西方政府购买和生产军事装备以及西方向乌克兰运送武器的信息。”

荷兰情报机构发布了一份关于该黑客组织入侵计算机网络和云服务的方法的详细分析。

微软提到荷兰的曝光情况，称其正在追踪该组织，微软命名为“Void Blizzard（虚空暴风雪）”。

荷兰方面称，迄今为止，洗衣熊仅被发现进行非破坏性的网络攻击，“很可能是为了间谍目的”，侵入微软 Exchange 服务器等云电子邮件环境，以大规模、高速窃取“电子邮件和有关电子邮件联系人的信息”。

情报机构表示，该组织行动的速度和规模很可能是由攻击链的自动化程度决定的，并称其“设计得非常高效，可以在短时间内发动多次袭击”。

该公告还警告称，该组织使用“相对简单、难以检测的技术”，并避免使用自己的恶意软件，而是试图利用受害者系统中已有的工具来谋生。

微软表示，Void Blizzard 已成功入侵乌克兰多个行业的组织，包括教育、交通和国防。

微软表示，最近一次发现 Void Blizzard 上个月曾冒充欧洲国防与安全峰会组织者发送钓鱼邮件。邮件诱饵是一个 PDF 附件，其中包含一个虚假的邀请，邀请用户访问一个窃取凭证的页面。

钓鱼邮件截图

根据荷兰情报部门的公告，其目标主要集中在“与俄罗斯在乌克兰的战争努力直接相关”的事务上，包括北约国家的国防部、其在其他组织的代表、军事单位和国防承包商。

公告指出，生产军事装备的国防、航空航天和空间技术公司去年成为攻击目标。

对受害者进行的技术研究表明，“洗衣熊”很可能试图获取西方政府购买和生产军事装备以及西方向乌克兰交付武器的（敏感）信息。美国军方发现，该攻击者似乎对国防装备及其所需子部件的生产和交付有一定程度的了解。

通报指出：“此外，洗衣熊还针对生产高端技术的公司发动了网络攻击，而由于西方制裁，俄罗斯很难获得这些技术。根据目前的信息，这些间谍攻击的具体目标尚无法确定。”

“洗衣熊”还针对民间实体，包括非政府组织以及媒体和教育领域的组织。荷兰的咨询报告强调，其针对民间实体的攻击尤其集中在IT和科技领域，在这些领域，大型组织（例如政府）的数字服务提供商“也可能直接或间接地提供对其客户信息或网络的访问权限”。

微软表示，它发现 Void Blizzard 滥用合法的云 API（例如 Exchange Online 和 Microsoft Graph 的 API）来枚举用户的邮箱和云托管文件，然后自动批量收集受感染用户帐户可以访问的云托管数据（在某些情况下包括 Microsoft Teams 对话）。

技术报告下载：

https://www.defensie.nl/downloads/publicaties/2025/05/27/aivd-en-mivd-onderkennen-nieuwe-russische-cyberactor

https://www.microsoft.com/en-us/security/blog/2025/05/27/new-russia-affiliated-actor-void-blizzard-targets-critical-sectors-for-espionage/

新闻链接：

https://www.securityweek.com/dutch-intelligence-agencies-say-russian-hackers-stole-police-data-in-cyberattack/

https://therecord.media/laundry-bear-void-blizzard-russia-hackers-netherlands