Минулого літа російська хакерська група, відома як Cold River, напала на три ядерні дослідницькі лабораторії в США, згідно з інтернет-записами, переглянутими агентством Reuters і п'ятьма експертами з кібербезпеки, пише УНН.

У період із серпня по вересень, коли президент володимир путін дав зрозуміти, що росія буде готова використовувати ядерну зброю для захисту своєї території, Cold River націлився на Брукхейвенську (BNL), Аргоннську (ANL) та Ліверморську національні лабораторії імені Лоуренса (LLNL).

За словами дослідників кібербезпеки та західних урядовців, Cold River активізувала свою хакерську кампанію проти союзників Києва після вторгнення в Україну. Цифровий бліц проти американських лабораторій стався, коли експерти ООН увійшли на територію України, контрольовану росією, щоб оглянути найбільшу в Європі атомну електростанцію.

Згідно з інтерв'ю, проведеним дев'ятьма фірмами, що займаються кібербезпекою, Cold River вперше потрапила в поле зору фахівців із розвідки після атаки на міністерство закордонних справ Великої Британії у 2016 році. Агентство Reuters відстежило облікові записи електронної пошти, використані у його хакерських операціях у період з 2015 по 2020 рік, до ІТ-фахівця у російському місті Сиктивкар.

"Це одна з найважливіших хакерських груп, про які ви ніколи не чули", - сказав Адам Мейєрс, старший віце-президент з розвідки американської компанії з кібербезпеки CrowdStrike. "Вони беруть участь у прямій підтримці інформаційних операцій кремля".

Агентство Reuters представило свої висновки п'ятьом галузевим експертам, які підтвердили причетність Cold River до спроб зламування ядерних лабораторій на основі загальних цифрових відбитків пальців, які дослідники пов'язували з групою.

У травні Cold River зламав і злив електронні листи, які належали колишньому голові британської розвідувальної служби МІ-6.

За словами експертів з кібербезпеки та співробітників служби безпеки Східної Європи, це була лише одна з кількох операцій злому та витоку, проведених минулого року хакерами, пов'язаними з росією, під час яких конфіденційні повідомлення були оприлюднені у Великій Британії, Польщі та Латвії.

За даними французької фірми з кібербезпеки SEKOIA.IO, в рамках іншої нещодавньої шпигунської операції, спрямованої проти критиків Москви, компанія Cold River зареєструвала доменні імена, що імітують щонайменше три європейські НУО, які розслідують військові злочини.

Спроби злому, пов'язані з НУО, мали місце безпосередньо перед та після опублікування 18 жовтня доповіді незалежної слідчої комісії ООН, в якій було встановлено, що російські сили несуть відповідальність за переважну більшість порушень прав людини в перші тижні війни в Україні.

У повідомленні SEKOIA.IO говориться, що Cold River прагнула зробити свій внесок у "збір російської розвідувальної інформації про виявлені докази, пов'язані з військовими злочинами, та/або міжнародні судові процедури".

Комісія з міжнародного правосуддя та підзвітності (CIJA), заявила, що за останні вісім років вона неодноразово безуспішно зазнавала атак підтримуваних росією хакерів.

Як повідомили Reuters дослідники в галузі безпеки, Cold River використовувала таку тактику, як обманом змушуючи людей вводити свої імена користувачів та паролі на підроблених веб-сайтах, щоб отримати доступ до комп'ютерних систем. Для цього Cold River використовувала різні облікові записи електронної пошти для реєстрації доменних імен, таких як goo-link.online і on365-office.com, які на перший погляд схожі на законні служби, керовані такими фірмами, як Google і Microsoft, заявили дослідники безпеки.

Глибокі зв'язки з росією

В останні роки Cold River припустилася кількох помилок, які дозволили аналітикам з кібербезпеки встановити точне місцезнаходження та особистість одного з її членів, що дає найбільш чітку вказівку на російське походження групи.

Декілька особистих адрес електронної пошти, використаних для створення місій Cold River, належать Андрію Коринцю, 35-річному ІТ-спеціалісту з Сиктивкара. Використання цих облікових записів залишило слід цифрових доказів від різних зломів до онлайн-життя Коринця, включаючи облікові записи в соціальних мережах та особисті веб-сайти.

Коринець підтвердив, що йому належать відповідні облікові записи електронної пошти в інтерв'ю Reuters, але заперечував інформацію про Cold River. Він сказав, що його єдиний досвід хакерства з'явився багато років тому, коли його оштрафував російський суд за комп'ютерний злочин, скоєний під час ділової суперечки з колишнім клієнтом.

Агентство Reuters змогло окремо підтвердити зв'язки Коринця з Cold River, використовуючи дані, зібрані за допомогою платформ дослідження кібербезпеки Constella Intelligence та DomainTools, які допомагають ідентифікувати власників веб-сайтів: дані показали, що адреси електронної пошти Коринця зареєстровані на численних веб-сайтах, які використовуються хакерських кампаніях Cold River у період із 2015 по 2020 рік.