Российские хакеры атаковали американских ученых-ядерщиков - расследование

Российские хакеры атаковали американских ученых-ядерщиков - расследование

Киев  •  УНН

 • 631041 просмотра

КИЕВ. 7 января. УНН. Прошлым летом российская хакерская группа, известная как Cold River, напала на три ядерные исследовательские лаборатории в США, согласно интернет-записям, просмотренным агентством Reuters и пятью экспертами по кибербезопасности, пишет УНН.

Детали

В период с августа по сентябрь, когда президент владимир путин дал понять, что россия будет готова использовать ядерное оружие для защиты своей территории, Cold River нацелился на Брукхейвенскую (BNL), Аргоннскую (ANL) и Ливерморскую национальные лаборатории имени Лоуренса (LLNL).

По словам исследователей кибербезопасности и западных чиновников, Cold River активизировала свою хакерскую кампанию против союзников Киева после вторжения в Украину. Цифровой блиц против американских лабораторий произошел, когда эксперты ООН вошли на территорию Украины, контролируемую россией, чтобы осмотреть крупнейшую в Европе атомную электростанцию.

Согласно интервью, проведенным девятью фирмами, занимающимися кибербезопасностью, Cold River впервые попала в поле зрения специалистов по разведке после атаки на министерство иностранных дел Великобритании в 2016 году. Агентство Reuters отследило учетные записи электронной почты, использованные в его хакерских операциях в период с 2015 по 2020 год, до ИТ-специалиста в российском городе Сыктывкар.

"Это одна из самых важных хакерских групп, о которых вы никогда не слышали", - сказал Адам Мейерс, старший вице-президент по разведке американской компании по кибербезопасности CrowdStrike. "Они участвуют в прямой поддержке информационных операций кремля".

Агентство Reuters представило свои выводы пяти отраслевым экспертам, которые подтвердили причастность Cold River к попыткам взлома ядерных лабораторий на основе общих цифровых отпечатков пальцев, которые исследователи связывали с группой.

В мае Cold River взломал и слил электронные письма, принадлежавшие бывшему главе британской разведывательной службы МИ-6.

По словам экспертов по кибербезопасности и сотрудников службы безопасности Восточной Европы, это была лишь одна из нескольких операций взлома и утечки, проведенных в прошлом году хакерами, связанными с россией, в ходе которых конфиденциальные сообщения были обнародованы в Великобритании, Польше и Латвии.

По данным французской фирмы по кибербезопасности SEKOIA.IO, в рамках другой недавней шпионской операции, направленной против критиков Москвы, компания Cold River зарегистрировала доменные имена, имитирующие по меньшей мере три европейские НПО, расследующие военные преступления.

Попытки взлома, связанные с НПО, имели место непосредственно перед и после опубликования 18 октября доклада независимой следственной комиссии ООН, в котором было установлено, что российские силы несут ответственность за подавляющее большинство нарушений прав человека в первые недели войны в Украине.

В сообщении SEKOIA.IO говорится, что Cold River стремилась внести свой вклад в "сбор российской разведывательной информации о выявленных доказательствах, связанных с военными преступлениями, и/или международные судебные процедуры".

Комиссия по международному правосудию и подотчетности (CIJA), заявила, что за последние восемь лет она неоднократно безуспешно подвергалась атакам поддерживаемых россией хакеров.

Как сообщили Reuters исследователи в области безопасности, Cold River использовала такую тактику, как обманом заставляя людей вводить свои имена пользователей и пароли на поддельных веб-сайтах, чтобы получить доступ к компьютерным системам. Для этого Cold River использовала различные аккаунты электронной почты для регистрации доменных имен, таких как goo-link.online и on365-office.com, которые на первый взгляд похожи на законные службы, управляемые такими фирмами, как Google и Microsoft, заявили исследователи безопасности.

Глубокие связи с россией

В последние годы Cold River допустила несколько ошибок, позволивших аналитикам по кибербезопасности установить точное местонахождение и личность одного из ее членов, что дает наиболее четкое указание на российское происхождение группы.

Несколько личных адресов электронной почты, использованных для создания миссий Cold River, принадлежат Андрею Коринцу, 35-летнему ИТ-специалисту из Сыктывкара. Использование этих аккаунтов оставило след цифровых доказательств от различных взломов до онлайн-жизни Коринца, включая учетные записи в социальных сетях и личные веб-сайты.

Коринец подтвердил, что ему принадлежат соответствующие аккаунты электронной почты в интервью Reuters, но отрицал информацию о Cold River. Он сказал, что его единственный опыт хакерства появился много лет назад, когда его оштрафовал российский суд за компьютерное преступление, совершенное в ходе делового спора с бывшим клиентом.

Агентство Reuters смогло отдельно подтвердить связи Коринца с Cold River, используя данные, собранные с помощью платформ исследования кибербезопасности Constella Intelligence и DomainTools, которые помогают идентифицировать владельцев веб-сайтов: данные показали, что адреса электронной почты Коринца зарегистрированы на многочисленных веб-сайтах используемых хакерских кампаниях Cold River в период с 2015 по 2020 год.