Reuters: российские хакеры пытались украсть американские ядерные секреты
Прошлым летом российская хакерская группа, известная как Cold River, атаковала три ядерные исследовательские лаборатории в Соединенных Штатах, согласно интернет-записям, просмотренным Reuters и пятью экспертами по кибербезопасности.
В период с августа по сентябрь 2022 года, когда президент РФ Владимир Путин дал понять, что Россия будет готова использовать ядерное оружие для защиты своей территории, Cold River нацелился на Брукхейвенскую (BNL), Аргоннскую (ANL) и Ливерморскую национальные лаборатории имени Лоуренса (LLNL). Хакеры создали фальшивые страницы входа для каждого учреждения и отправляли электронные письма ученым-ядерщикам, чтобы заставить их раскрыть свои пароли.
Reuters не смог определить, почему лаборатории атаковали и была ли попытка вторжения успешной.
По словам исследователей кибербезопасности и западных правительственных чиновников, Cold River активизировала свою хакерскую кампанию против союзников Киева после вторжения РФ в Украину. Цифровой блиц против американских лабораторий произошел, когда эксперты ООН вошли на территорию Украины, контролируемую Россией, чтобы осмотреть крупнейшую в Европе Запорожскую атомную электростанцию и оценить риск того, что, по словам обеих сторон, может стать разрушительной радиационной катастрофой.
Согласно интервью, проведенным девятью фирмами, занимающимися кибербезопасностью, Cold River впервые попала в поле зрения специалистов по разведке после атаки на Министерство иностранных дел Великобритании в 2016 году. Издание Reuters отследило учетные записи электронной почты, использованные командой в ее хакерских операциях в период с 2015-го по 2020 год, до IТ-специалиста в российском городе Сыктывкар.
«Это одна из самых важных хакерских групп, о которых вы никогда не слышали, — заверил Адам Мейерс, старший вице-президент по разведке американской компании по кибербезопасности CrowdStrike. — Они участвуют в прямой поддержке информационных операций Кремля».
По теме: Хакеры взломали базу данных о здоровье Лукашенко и выяснили, что он обманывал Путина
Западные чиновники заявляют, что российское правительство является мировым лидером в области хакерских атак и использует кибершпионаж, чтобы следить за иностранными правительствами и отраслями с целью получить конкурентное преимущество. Однако Москва отрицает, что проводит хакерские операции.
Агентство Reuters представило свои выводы пяти отраслевым экспертам, которые подтвердили причастность Cold River к попыткам взлома ядерных лабораторий на основе общих цифровых отпечатков, которые исследователи обычно связывали с группой.
Сбор информации
В мае хакеры Cold River взломали и слили электронные письма, принадлежащие бывшему главе британской разведывательной службы МI-6. По словам экспертов по кибербезопасности и сотрудников службы безопасности, это была лишь одна из нескольких операций «взлома и утечки», проведенных в прошлом году хакерами, связанными с Россией, в ходе которых конфиденциальные сообщения были обнародованы в Великобритании, Польше и Латвии.
По данным французской фирмы по кибербезопасности SEKOIA.IO, в рамках другой недавней шпионской операции, направленной против критиков Москвы, компания Cold River зарегистрировала доменные имена, имитирующие как минимум три европейские неправительственные организации (НПО), расследующие военные преступления.
Попытки взлома, связанные с НПО, имели место непосредственно перед и после опубликования 18 октября отчета независимой следственной комиссии ООН, в котором было установлено, что российские силы несут ответственность за «подавляющее большинство» нарушений прав человека в первые недели войны в Украине.
В сообщении в блоге SEKOIA.IO говорится, что, основываясь на своем нацеливании на неправительственные организации, Cold River стремилась внести свой вклад в «сбор российской разведывательной информации о выявленных доказательствах, связанных с военными преступлениями».
Комиссия по международному правосудию и подотчетности (CIJA) — некоммерческая организация, основанная опытным следователем по военным преступлениям, — заявила, что за последние восемь лет она неоднократно безуспешно подвергалась атакам поддерживаемых Россией хакеров. Две другие НПО, Международный центр ненасильственных конфликтов и Центр гуманитарного диалога, не ответили на запросы о комментариях.
Как сообщили Reuters исследователи в области безопасности, Cold River применяла такую тактику: она обманом заставляла людей вводить свои имена пользователей и пароли на поддельных веб-сайтах, чтобы получить доступ к компьютерным системам. В этих целях Cold River использовала различные учетные записи электронной почты для регистрации доменных имен, таких как «goo-link.online» и «online365-office.com», которые на первый взгляд похожи на законные службы, управляемые такими фирмами, как Google и Microsoft.
Глубокие связи с Россией
В последние годы Cold River допустила несколько ошибок, которые позволили аналитикам по кибербезопасности установить точное местонахождение и личность одного из ее членов, что дает наиболее четкое указание на российское происхождение группы, по мнению экспертов из интернет-гиганта Google, британского оборонного подрядчика BAE и Американской разведывательной фирмы Nisos.
Несколько личных адресов электронной почты, использованных для создания миссий Cold River, принадлежат Андрею Коринцу, 35-летнему айтишнику и культуристу из Сыктывкара. Использование этих учетных записей оставило след цифровых доказательств от различных взломов до онлайн-жизни Коринца, включая учетные записи в социальных сетях и личные веб-сайты.
Вам может быть интересно: главные новости Нью-Йорка, истории наших иммигрантов и полезные советы о жизни в Большом Яблоке – читайте все это на ForumDaily New York
Билли Леонард, инженер по безопасности из группы анализа угроз Google, который расследует хакерские атаки в национальных государствах, сказал, что Коринец был замешан.
«Google связал этого человека с российской хакерской группой Cold River и их ранними операциями», — уточнил он.
Винцас Чизиунас, исследователь безопасности в Nisos, который тоже связал адреса электронной почты Коринца с деятельностью Cold River, сказал, что IТ-специалист был «центральной фигурой» в сыктывкарском хакерском сообществе. Чизиунас обнаружил ряд русскоязычных интернет-форумов, в том числе электронный журнал, где Коринец обсуждал хакерские атаки.
Коринец подтвердил, что ему принадлежат соответствующие учетные записи электронной почты, но отрицал какие-либо сведения о Cold River. Он сказал, что его единственный опыт хакерства появился много лет назад, когда его оштрафовал российский суд за компьютерное преступление, совершенное во время делового спора с бывшим клиентом.
Агентство Reuters смогло отдельно подтвердить связи Коринца с Cold River используя данные, собранные с помощью платформ исследования кибербезопасности Constella Intelligence и DomainTools, помогающих идентифицировать владельцев веб-сайтов: данные показали, что адреса электронной почты Коринца зарегистрированы на многочисленных веб-сайтах, использовались в хакерских кампаниях Cold River в период с 2015 по 2020 год.
Неясно, участвовал ли Коринец в хакерских операциях с 2020 года. Он не объяснил, почему использовались эти адреса электронной почты, а также не ответил на дальнейшие телефонные звонки и вопросы по электронной почте.
Читайте также на ForumDaily:
Три необычных способа сэкономить на продуктах в 2023 году
В США создали уникальную вакцину от рака: онкоклетки убивают сами себя
Как узнать, кто звонит вам с анонимного номера: простой лайфхак
Зимние походы в США: 11 самых популярных маршрутов для незабываемого путешествия
Подписывайтесь на ForumDaily в Google NewsХотите больше важных и интересных новостей о жизни в США и иммиграции в Америку? — Поддержите нас донатом! А еще подписывайтесь на нашу страницу в Facebook. Выбирайте опцию «Приоритет в показе» — и читайте нас первыми. Кроме того, не забудьте оформить подписку на наш канал в Telegram и в Instagram— там много интересного. И присоединяйтесь к тысячам читателей ForumDaily New York — там вас ждет масса интересной и позитивной информации о жизни в мегаполисе.