Grupul de hackeri ruși care furnizează informații Kremlinului, dar „de care nu ați auzit niciodată” / Ce se știe despre Cold River și care au fost țintele până acum
Un grup de hackeri ruși cunoscut sub numele de Cold River a vizat trei laboratoare de cercetare nucleară din Statele Unite vara trecută, potrivit înregistrărilor de pe internet analizate de Reuters și de cinci experți în securitate cibernetică.
Între august și septembrie, în timp ce președintele Vladimir Putin a indicat că Rusia ar fi dispusă să folosească arme nucleare pentru a-și apăra teritoriul, Cold River a vizat Laboratoarele Naționale Brookhaven (BNL), Argonne (ANL) și Lawrence Livermore (LLNL), potrivit înregistrărilor de pe internet care au arătat că hackerii creează pagini de conectare false pentru fiecare instituție și trimit e-mail oamenilor de știință nucleari în încercarea de a-i determina să-și dezvăluie parolele.
Reuters nu a putut determina de ce au fost vizate laboratoarele sau dacă orice tentativă de intruziune a avut succes. Un purtător de cuvânt al BNL a refuzat să comenteze. LLNL nu a răspuns la o solicitare de comentarii. Un purtător de cuvânt al ANL a adresat întrebări Departamentului de Energie al SUA, care a refuzat să comenteze.
Cold River și-a intensificat campania de hacking împotriva aliaților Kievului de la invadarea Ucrainei, potrivit cercetătorilor în domeniul securității cibernetice și oficialilor guvernului occidental. Atacul digital împotriva laboratoarelor americane a avut loc în momentul în care experții ONU au intrat pe teritoriul ucrainean controlat de ruși pentru a inspecta cea mai mare centrală atomică din Europa și pentru a evalua riscul a ceea ce ambele părți au spus că ar putea fi un dezastru devastator de radiații pe fondul bombardamentelor puternice din apropiere.
Cold River, hackerii care sprijină operațiunile de informare ale Kremlinului
Cold River, care a apărut pentru prima dată pe radarul profesioniștilor din domeniul informațiilor după ce a vizat biroul Ministerului de externe al Marii Britanii în 2016, a fost implicat în alte zeci de incidente de hacking de mare profil în ultimii ani, potrivit interviurilor cu nouă firme de securitate cibernetică. Reuters a legat conturile de e-mail folosite în operațiunile sale de hacking între 2015 și 2020 de un IT-ist din orașul rus Sîktîvkar.
„Acesta este unul dintre cele mai importante grupuri de hacking de care nu ați auzit niciodată”, a declarat Adam Meyer, vicepreședinte senior pentru informații la firma americană de securitate cibernetică CrowdStrike. „Ei sunt implicați în sprijinirea directă a operațiunilor de informare ale Kremlinului”.
Serviciul Federal de Securitate al Rusiei (FSB), agenția de securitate internă care desfășoară și campanii de spionaj pentru Moscova și ambasada Rusiei la Washington nu au răspuns solicitărilor de comentarii trimise prin e-mail.
Oficialii occidentali spun că guvernul rus este un lider global în hacking și folosește spionajul cibernetic pentru a spiona guvernele și industriile străine pentru a căuta un avantaj competitiv. Cu toate acestea, Moscova a negat constant că efectuează operațiuni de hacking.
Cinci experți din industrie au confirmat pentru Reuters implicarea Cold River în tentativele de hacking a laboratoarelor nucleare.
Agenția de Securitate Națională a SUA (NSA) a refuzat să comenteze activitățile Cold River. Cartierul General de Comunicații Globale din Marea Britanie (GCHQ), echivalentul britanic al NSA, de asemenea nu a comentat. Ministerul de Externe a refuzat să comenteze.
Cold River și spionarea ONG-urilor care anchetează crimele de război ale rușilor în Ucraina
În mai, Cold River a pătruns și a scurs e-mailuri aparținând fostului șef al serviciului de spionaj MI6 din Marea Britanie. Aceasta a fost doar una dintre numeroasele operațiuni de „hack and leak” de anul trecut ale hackerilor legați de Rusia, în care comunicațiile confidențiale au fost făcute publice în Marea Britanie, Polonia și Letonia, potrivit experților în securitate cibernetică și oficialilor de securitate din Europa de Est.
Într-o altă operațiune recentă de spionaj care vizează criticii Moscovei, Cold River a înregistrat nume de domenii menite să imite cel puțin trei ONG-uri europene care investighează crime de război, potrivit firmei franceze de securitate cibernetică SEKOIA.IO.
Tentativele de hacking legate de ONG-uri au avut loc chiar înainte și după lansarea, pe 18 octombrie, a unui raport al unei comisii independente de anchetă a ONU care a constatat că forțele ruse sunt responsabile pentru „marea majoritatea” a încălcărilor drepturilor omului în primele săptămâni ale războiului din Ucraina, pe care Rusia a numit-o operațiune militară specială.
Andrei Korineț, hackerul Cold River, activ cu siguranță între 2015 și 2020
Cold River a făcut mai mulți pași greșiți în ultimii ani, care au permis analiștilor de securitate cibernetică să identifice locația exactă și identitatea unuia dintre membrii săi, oferind cea mai clară indicație de până acum cu privire la originea rusă a grupului, potrivit experților de la gigantul internet Google, de la gigantul britanic în domeniul apărării BAE și firma americană de informații Nisos.
Mai multe adrese de e-mail personale folosite pentru a configura misiunile Cold River îi aparțin lui Andrei Korineț, un IT-ist și culturist în vârstă de 35 de ani din Sîktîvkar, la aproximativ 1.600 km nord-est de Moscova. Utilizarea acestor conturi a lăsat o urmă de dovezi digitale din diferite piraterii online ale lui Korineț, inclusiv conturi de rețele sociale și site-uri web personale.
Billy Leonard, inginer de securitate din cadrul Grupului de analiză a amenințărilor de la Google, care investighează hacking-ul statelor, a declarat că Korineț a fost implicat. „Google a legat acest individ de grupul rus de hacking Cold River și de operațiunile lor timpurii”, a spus el.
Vincas Ciziunas, un cercetător de securitate la Nisos, care a conectat, de asemenea, adresele de e-mail ale lui Korineț de activitatea Cold River, a spus că IT-ustul părea a fi o „figură centrală” în comunitatea de hacking Sîktîvkar, din punct de vedere istoric. Ciziunas a descoperit o serie de forumuri de internet în limba rusă, inclusiv un eZine, în care Korineț discutase despre hacking, și a împărtășit acele postări cu Reuters.
Korineț a confirmat că deține conturile de e-mail relevante într-un interviu cu Reuters, dar a negat orice cunoștință despre Cold River. El a spus că singura lui experiență cu pirateria online a venit cu ani în urmă, când a fost amendat de un tribunal rus pentru o infracțiune informatică comisă în timpul unei dispute de afaceri cu un fost client.
Reuters a reușit să confirme separat legăturile dintre Korineț și Cold River utilizând date compilate prin platformele de cercetare în domeniul securității cibernetice Constella Intelligence și DomainTools, care ajută la identificarea proprietarilor de site-uri web: datele au arătat că adresele de e-mail ale Korineț au înregistrat numeroase site-uri web utilizate în campaniile de hacking Cold River între 2015 și 2020.
Nu este clar dacă Korineț a fost implicat în operațiuni de hacking din 2020 încoace. El nu a oferit nicio explicație cu privire la motivul pentru care au fost folosite aceste adrese de e-mail și nu a răspuns la apeluri telefonice și întrebări trimise prin e-mail.