Na jaw wyszły szczegóły jednego z najpoważniejszych ataków szpiegowskich ostatnich miesięcy. Rosyjska grupa hakerska powiązana z rosyjską Służbą Wywiadu Zagranicznego uzyskała dostęp do danych funkcjonariuszy holenderskiej policji, wykorzystując zaawansowane techniki infiltracji chmurowych usług. Incydent ten pokazuje, że cyberprzestrzeń stała się kluczowym polem walki o bezpieczeństwo wewnętrzne państw NATO.

Nowa jakość cyberzagrożeń

Pod koniec maja 2025 roku holenderskie służby wywiadowcze – AIVD (Algemene Inlichtingen- en Veiligheidsdienst) oraz MIVD (Militaire Inlichtingen- en Veiligheidsdienst) – ujawniły kulisy zaawansowanego ataku cybernetycznego przeprowadzonego przez rosyjską grupę hakerską o kryptonimie „Laundry Bear”. Grupa, znana również pod nazwą Void Blizzard została powiązana z rosyjską Służbą Wywiadu Zagranicznego, odpowiednikiem CIA czy MI6.

Do incydentu doszło już we wrześniu 2024 roku, jednak dopiero teraz opinia publiczna poznała jego pełny zasięg i znaczenie. Jak podkreślają holenderskie służby, była to operacja szpiegowska wymierzona w infrastrukturę krajów NATO oraz instytucje wspierające Ukrainę.

Kulisy ataku

Cyberatak rozpoczął się od zainfekowania komputera jednego z pracowników holenderskiej policji. Po instalacji złośliwego oprogramowania, cyberprzestępcy uzyskali dostęp do tzw. pliku cookie – danych sesji logowania do usług chmurowych. Następnie wykorzystali technikę „pass-the-cookie”, która pozwala ominąć proces logowania i autoryzacji, uzyskując bezpośredni dostęp do konta w chmurze.

Z informacji przekazanych przez AIVD wynika, że plik cookie został zakupiony na rynku cyberprzestępczym, co pokazuje, jak ściśle zorganizowane i komercjalizowane są dziś operacje tego typu.

Uzyskany dostęp pozwolił Laundry Bear na przeszukanie wewnętrznych systemów i wyciągnięcie danych kontaktowych wszystkich funkcjonariuszy holenderskiej policji – imion, adresów e-mail, numerów telefonów, a także – w wybranych przypadkach – danych osobowych i służbowych informacji operacyjnych.

Kontekst geopolityczny – cyberprzestrzeń jako teatr wojny

Holandia nie została wybrana przypadkowo. Jest jednym z kluczowych partnerów NATO, zaangażowanym w dostawy sprzętu wojskowego i technologii obronnych dla Ukrainy. Grupa Laundry Bear w ciągu ostatnich dwóch lat koncentrowała się na kradzieży informacji dotyczących dostaw broni, kontraktów wojskowych i ruchów wojskowych państw zachodnich.

W oświadczeniu opublikowanym przez holenderski wywiad podkreślono, że „Rosja nie zadowala się już tradycyjnymi kanałami szpiegowskimi – cyberprzestrzeń stała się priorytetowym narzędziem projekcji siły i destabilizacji”.

Celem działań grupy są nie tylko instytucje rządowe, ale też firmy z sektora prywatnego – dostawcy komponentów, usług cyfrowych, infrastruktury krytycznej i doradcy technologiczni.

Techniki, które wymykają się spod kontroli

Atak przeprowadzono z użyciem taktyki tzw. „living off the land”, polegającej na wykorzystywaniu legalnych narzędzi systemowych już obecnych w środowisku ofiary, takich jak PowerShell czy narzędzia administracyjne Windows. Taka strategia znacząco utrudnia wykrycie aktywności napastników i czyni ataki mniej oczywistymi dla systemów zabezpieczeń.

Co istotne – Laundry Bear unika tworzenia złośliwego oprogramowania, które mogłoby być wykryte przez antywirusy. Zamiast tego opiera się na manipulowaniu istniejącą infrastrukturą i automatyzacji operacji. Według Microsoftu, który współpracował z holenderskimi służbami w analizie incydentu, grupa ta „jest jednym z najgroźniejszych przeciwników na cyberfroncie ze względu na swoją cichość i skuteczność”.

Czy jesteśmy gotowi na ciche wojny?

Cyberatak Laundry Bear na holenderską policję to nie tylko spektakularny przypadek naruszenia danych – to sygnał ostrzegawczy dla całej Europy. Pokazuje, że przeciwnik nie atakuje tam, gdzie spodziewamy się zagrożenia – ale tam, gdzie systemy są najmniej odporne. Czasem wystarczy jedno nieaktualne oprogramowanie, jedno nieuwierzytelnione logowanie, jeden klik w złośliwy załącznik.

Dlatego konieczne jest, aby organizacje – także w Polsce – potraktowały cyberbezpieczeństwo jako priorytet strategiczny, a nie jednorazowy projekt. Wzmocnienie systemów monitorujących (SIEM), automatyzacja reagowania (SOAR), segmentacja sieci, aktualizacje oprogramowania i edukacja pracowników to nie dodatki – to niezbędna tarcza w czasach cyfrowej wojny.