Прошлым летом российская хакерская группировка, известная под названием Cold River, атаковала сразу три ядерные исследовательские лаборатории в США. Об этом свидетельствуют документы, изученные агентством «Рейтер» и пятью экспертами по кибербезопасности.
В период с августа по сентябрь Cold River осуществила кибератаки на Брукхейвенскую (BNL), Аргоннскую (ANL) и Ливерморскую национальную лабораторию имени Лоуренса (LLNL), согласно данным о посещении серверов, которые свидетельствуют о том, что хакеры создавали поддельные страницы входа для каждого учреждения и отправляли электронные письма ученым-ядерщикам, пытаясь заставить их раскрыть свои пароли.
«Рейтер» не удалось выяснить, почему именно эти лаборатории были атакованы и увенчались ли попытки вторжений успехом.
Cold River активизировала хакерскую кампанию против союзников Киева после вторжения России в Украину, считают исследователи кибербезопасности и представители западных правительств. Стремительные атаки против американских лабораторий были осуществлены сразу после того, как эксперты ООН добрались до оккупированной Россией Запорожской АЭС, чтобы лично оценить риск вероятной разрушительной радиационной катастрофы из-за сильных обстрелов в окрестностях станции.
Согласно данным девяти компаний, занимающихся кибербезопасностью, Cold River впервые попала в поле зрения спецслужб после атаки на Министерство иностранных дел Великобритании в 2016 году.
«Это одна из самых серьезных хакерских группировок, о которой вы никогда не слышали, – говорит Адам Мейер, старший вице-президент по разведке американской компании CrowdStrike, занимающейся кибербезопасностью. - Они участвуют в прямой поддержке информационных операций Кремля».
«Рейтер» продемонстрировал свои выводы пяти отраслевым экспертам, которые подтвердили причастность Cold River к попыткам взлома ядерных лабораторий на основе общих цифровых «отпечатков», которые исследователи исторически связывают с группировкой.
По данным французской фирмы по кибербезопасности SEKOIA, в рамках другой недавней шпионской операции, направленной против критиков Кремля, Cold River зарегистрировала доменные имена, имитирующие как минимум три европейские неправительственные организации, расследующие военные преступления в Украине.
Попытки взлома, связанные с НПО, произошли в середине октября, когда был опубликован доклад независимой следственной комиссии ООН, в котором было установлено, что российские силы несут ответственность за «подавляющее большинство» нарушений прав человека в первые недели вторжения в Украину.
Cold River использует тактику обмана, заставляя людей вводить свои имена пользователей и пароли на поддельных вебсайтах, чтобы получить доступ к компьютерным сетям, сообщили «Рейтер» эксперты. Для этого Cold River использовала различные учетные записи электронной почты для регистрации доменных имен, такие как «goo-link.online» и «online365-office.com», которые, на первый взгляд, похожи на обычные адреса электронной почты.
В последние годы Cold River допустила несколько ошибок, которые позволили аналитикам по кибербезопасности установить точное местонахождение и личность одного из ее участников. Это предоставило наиболее четкое указание на российское происхождение группировки, в чем сходятся эксперты из Google, британского оборонного подрядчика BAE и американской разведывательной компании Nisos.
Несколько личных адресов электронной почты, использованных для выполнения задач Cold River, принадлежат Андрею Коринцу, 35-летнему ИТ-специалисту и бодибилдеру из Сыктывкара.
В интервью агентству «Рейтер» Коринец подтвердил, что ему принадлежат соответствующие учетные записи электронной почты, но отрицал, что ему что-либо известно о Cold River. Он сказал, что его единственный опыт хакерства появился несколько лет назад, когда он был оштрафован российским судом за компьютерное преступление, совершенное во время делового спора с бывшим клиентом.
«Рейтер» удалось независимо подтвердить связи Коринца с Cold River, используя данные, собранные с помощью платформ исследования кибербезопасности Constella Intelligence и DomainTools, которые помогают идентифицировать владельцев вебсайтов. Адреса электронной почты Коринца зарегистрированы на многочисленных вебсайтах, использованных хакерами из Cold River с 2015 по 2020 год.
Пока что непонятно, участвовал ли Коринец в хакерских операциях после 2020 года. Он не объяснил, почему он использовал эти адреса электронной почты, и не ответил на дальнейшие телефонные звонки и вопросы по электронной почте.
Форум