Στο στόχαστρο μιας ομάδας Ρώσων χάκερς με την ονομασία «Cold River» (κρύος ποταμός) βρέθηκαν το καλοκαίρι του 2022 τρία εργαστήρια πυρηνικής έρευνας στις Ηνωμένες Πολιτείες, σύμφωνα με αρχεία που εξέτασε το Reuters και πέντε εμπειρογνώμονες σε θέματα ασφάλειας στον κυβερνοχώρο που επικαλείται το βρετανικό πρακτορείο.
Μεταξύ Αυγούστου και Σεπτεμβρίου, καθώς ο πρόεδρος Putin ανέφερε ότι η Ρωσία θα ήταν πρόθυμη να χρησιμοποιήσει πυρηνικά όπλα για να υπερασπιστεί την επικράτειά της, η Cold River έβαλε στο στόχαστρο τα Εργαστήρια Brookhaven (BNL), Argonne (ANL) και Lawrence Livermore (LLNL), σύμφωνα με αρχεία στο διαδίκτυο που έδειξαν ότι οι χάκερ δημιούργησαν ψεύτικες σελίδες σύνδεσης για κάθε ίδρυμα και έστειλαν email σε πυρηνικούς επιστήμονες με σκοπό να τους κάνουν να αποκαλύψουν τους κωδικούς τους.
Το Reuters δεν ήταν σε θέση να προσδιορίσει γιατί τα εργαστήρια τέθηκαν στο στόχαστρο ή αν οποιαδήποτε απόπειρα εισβολής ήταν επιτυχής.
Η Cold River
Η Cold River έχει κλιμακώσει την εκστρατεία hacking εναντίον των συμμάχων του Κιέβου μετά την εισβολή στην Ουκρανία, σύμφωνα με ερευνητές κυβερνοασφάλειας και δυτικούς κυβερνητικούς αξιωματούχους. Η ψηφιακή επίθεση εναντίον των αμερικανικών εργαστηρίων σημειώθηκε καθώς εμπειρογνώμονες του ΟΗΕ εισέρχονταν σε ελεγχόμενα από τη Ρωσία ουκρανικά εδάφη για να επιθεωρήσουν το μεγαλύτερο εργοστάσιο ατομικής ενέργειας της Ευρώπης, στη Ζαπορίζια, και να εκτιμήσουν τον κίνδυνο μιας πυρηνικής καταστροφής, εν μέσω σφοδρών βομβαρδισμών σε κοντινή απόσταση.
Όπως μεταδίδει το Reuters, η Cold River, η οποία εμφανίστηκε για πρώτη φορά στο ραντάρ των επαγγελματιών των μυστικών υπηρεσιών μετά τη στοχοποίηση του βρετανικού υπουργείου Εξωτερικών το 2016, έχει εμπλακεί σε δεκάδες άλλα περιστατικά hacking υψηλού προφίλ τα τελευταία χρόνια.
Δυτικοί αξιωματούχοι υποστηρίζουν ότι η ρωσική κυβέρνηση είναι παγκόσμιος ηγέτης στο χάκινγκ και χρησιμοποιεί την κυβερνοκατασκοπεία κατά ξένων κυβερνήσεων και βιομηχανιών, κάτι που η Μόσχα αρνείται.
Τον Μάιο, η Cold River παραβίασε και διέρρευσε μηνύματα ηλεκτρονικού ταχυδρομείου που ανήκαν στον πρώην επικεφαλής της βρετανικής κατασκοπευτικής υπηρεσίας MI6.
Αυτή ήταν μία μόνο από τις πολλές επιχειρήσεις «hack and leak» πέρυσι από χάκερς που συνδέονται με τη Ρωσία, κατά τις οποίες δημοσιοποιήθηκαν εμπιστευτικές επικοινωνίες στη Βρετανία, την Πολωνία και τη Λετονία, σύμφωνα με εμπειρογνώμονες σε θέματα κυβερνοασφάλειας και αξιωματούχους ασφαλείας της Ανατολικής Ευρώπης.
Επίθεση σε ΜΚΟ
Σε μια άλλη πρόσφατη επιχείρηση κατασκοπείας με στόχο τους επικριτές της Μόσχας, το Cold River καταχώρησε domain names σχεδιασμένα να μιμούνται τουλάχιστον τρεις ευρωπαϊκές ΜΚΟ που διερευνούν εγκλήματα πολέμου, σύμφωνα με τη γαλλική εταιρεία κυβερνοασφάλειας SEKOIA.IO.
Οι απόπειρες χάκινγκ που σχετίζονται με τις ΜΚΟ σημειώθηκαν λίγο πριν και μετά τη δημοσίευση στις 18 Οκτωβρίου της έκθεσης μιας ανεξάρτητης επιτροπής έρευνας του ΟΗΕ, η οποία διαπίστωσε ότι οι ρωσικές δυνάμεις ήταν υπεύθυνες για τη «συντριπτική πλειονότητα» των παραβιάσεων των ανθρωπίνων δικαιωμάτων κατά τις πρώτες εβδομάδες του πολέμου στην Ουκρανία, τον οποίο η Ρωσία έχει αποκαλέσει ειδική στρατιωτική επιχείρηση.
Ο τρόπος δράσης
Η Cold River χρησιμοποίησε τακτικές όπως το να εξαπατά τους ανθρώπους ώστε να εισάγουν τα ονόματα χρήστη και τους κωδικούς πρόσβασης σε ψεύτικους ιστότοπους για να αποκτήσουν πρόσβαση στα συστήματα υπολογιστών τους, δήλωσαν ερευνητές ασφαλείας στο Reuters.
Για να το πετύχει αυτό, η Cold River χρησιμοποίησε διάφορους λογαριασμούς ηλεκτρονικού ταχυδρομείου για να καταχωρήσει ονόματα τομέα όπως «goo-link online» και «online365-office com», τα οποία με μια ματιά μοιάζουν με νόμιμες υπηρεσίες που λειτουργούν από εταιρείες όπως η Google και η Microsoft, δήλωσαν στο Reuters οι ερευνητές ασφαλείας.
Η Cold River έκανε αρκετά λάθη τα τελευταία χρόνια, τα οποία επέτρεψαν στους αναλυτές κυβερνοασφάλειας να εντοπίσουν την ακριβή τοποθεσία και την ταυτότητα ενός από τα μέλη της, παρέχοντας την πιο σαφή ένδειξη μέχρι στιγμής για τη ρωσική προέλευση της ομάδας, σύμφωνα με τους εμπειρογνώμονες του γίγαντα του Διαδικτύου Google, του βρετανικού αμυντικού εργολάβου BAE και της αμερικανικής εταιρείας πληροφοριών Nisos.
Ο Andrey Korinets
Πολλές προσωπικές διευθύνσεις ηλεκτρονικού ταχυδρομείου που χρησιμοποιήθηκαν για τις επιθέσεις του Cold River ανήκουν στον Andrey Korinets, έναν 35χρονο εργαζόμενο στην πληροφορική και bodybuilder στο Syktyvkar, περίπου 1.600 χιλιόμετρα βορειοανατολικά της Μόσχας. Η χρήση αυτών των λογαριασμών άφησε ένα ίχνος ψηφιακών αποδεικτικών στοιχείων από διάφορες παραβιάσεις πίσω στην ηλεκτρονική ζωή του Korinets, συμπεριλαμβανομένων λογαριασμών στα μέσα κοινωνικής δικτύωσης και προσωπικών ιστότοπων.
Ο Korinets επιβεβαίωσε ότι κατείχε τους σχετικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου σε συνέντευξή του στο Reuters, αλλά αρνήθηκε οποιαδήποτε γνώση των επιθέσεων της Cold River. Είπε ότι η μόνη του εμπειρία με το χάκινγκ ήταν πριν από χρόνια, όταν του επιβλήθηκε πρόστιμο από ρωσικό δικαστήριο για ένα έγκλημα στον υπολογιστή που διαπράχθηκε κατά τη διάρκεια μιας επιχειρηματικής διαμάχης με έναν πρώην πελάτη.
Το Reuters μπόρεσε να επιβεβαιώσει τους δεσμούς του Korinets με την Cold River χρησιμοποιώντας δεδομένα που συγκεντρώθηκαν μέσω των ερευνητικών πλατφορμών κυβερνοασφάλειας Constella Intelligence και DomainTools, οι οποίες βοηθούν στον εντοπισμό των ιδιοκτητών των ιστότοπων: τα δεδομένα έδειξαν ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου του Korinets καταχώρησαν πολυάριθμους ιστότοπους που χρησιμοποιήθηκαν σε εκστρατείες hacking της Cold River μεταξύ 2015 και 2020.
Δεν είναι σαφές αν ο Korinets έχει εμπλακεί σε επιχειρήσεις hacking από το 2020 και μετά. Δεν έδωσε καμία εξήγηση για τον λόγο που χρησιμοποιήθηκαν αυτές οι διευθύνσεις ηλεκτρονικού ταχυδρομείου και δεν απάντησε σε περαιτέρω τηλεφωνήματα και ερωτήσεις μέσω ηλεκτρονικού ταχυδρομείου.