USA: Rosyjscy hakerzy zaatakowali ośrodki badań jądrowych
7 stycznia 2023
Grupa rosyjskich hakerów, znana jako Cold River, między sierpniem a wrześniem ubiegłego roku wysyłała mejle do naukowców z instytutów badań jądrowych Brookhaven, Argonne i Lawrence Livermore National Laboratories. Usiłowali skłonić odbiorców do zalogowania się na sfałszowanych stronach internetowych. Hakerzy chcieli uzyskać w ten sposób hasła do wewnętrznej sieci tych trzech ośrodków badawczych. Tak wynika z zarejestrowanego ruchu danych w internecie, który został zbadany przez agencję Reutera i pięciu ekspertów ds. cyberbezpieczeństwa.
Ataki po inwazji
Reutersowi nie udało się ustalić, dlaczego zaatakowano te instytuty, ani czy próba włamania zakończyła się sukcesem. Według ekspertów ds. cyberbezpieczeństwa w internecie i przedstawicieli zachodnich rządów, grupa Cold River rozszerzyła ataki hakerskie po inwazji Rosji na Ukrainę.
Cold River po raz pierwszy zwróciła na siebie uwagę zachodnich agencji wywiadowczych w 2016 roku, po cyberataku na brytyjskie Ministerstwo Spraw Zagranicznych. Od tego czasu odnotowano dziesiątki innych ataków hakerskich, w których miała uczestniczyć ta grupa.
Eksperci badający zagadnienia cyberbezpieczeństwa powiedzieli agencji Reutera, że grupa Cold River używała różnych kont mailowych do rejestracji nazw domen, takich jak „goo-link.online” oraz „online365-office.com“. Na pierwszy rzut oka wyglądały jak usługi takich firm jak Google czy Microsoft.
Według francuskiej firmy ds. cyberbezpieczeństwa SEKOIA.IO, grupa Cold River ponadto naśladowała w ten sposób strony co najmniej trzech europejskich organizacji pozarządowych badających rosyjskie zbrodnie wojenne na Ukrainie. Nie wiadomo do końca, dlaczego hakerzy wzięli na cel organizacje pozarządowe.
Kulturysta w Syktywkarze
Kilka błędów popełnionych przez Cold River pozwoliło na ustalenie lokalizacji i tożsamości jednego z jej członków, jak twierdzą specjaliści z amerykańskiego koncernu Google, brytyjskiej firmy zbrojeniowej BAE oraz amerykańskiej firmy Nisos zajmującej się cyberbezpieczeństwem.
Z ich dochodzenia wynika, że kilka adresów mailowych wykorzystanych w atakach hakerskich należy do Andrieja Korinca, 35-letniego informatyka i kulturysty z Syktywkaru, stolicy republiki Komi położonej 1600 kilometrów na północny wschód od Moskwy.
„Googlowi udało się powiązać tę osobę z rosyjską grupą hakerską Cold River i ich wcześniejszymi atakami” – powiedział agencji Reutera ekspert z Threat Analysis Group, Billy Leonard.
Inny ekspert, Vincas Ciziunas z firmy Nisos, oświadczył, że Korinc wydaje się być główną postacią we wcześniejszych działaniach hakerskich grupy Cold River.
Reuters skontaktował się z Korincem, który potwierdził, że jest właścicielem tych adresów mailowych, ale zaprzeczył, że miał jakąkolwiek wiedzę o grupie Cold River i jej aktywności.
(RTR/jak)