A Reuters hírügynökség és öt kiberbiztonsági szakértő által áttekintett internetes feljegyzések szerint a Cold River nevű orosz hackercsoport tavaly nyáron három amerikai nukleáris kutatólaboratóriumot vett célba.
Augusztus és szeptember között, amikor Vlagyimir Putyin elnök jelezte, hogy Oroszország hajlandó lenne nukleáris fegyvereket használni területe védelmében, a Cold River a Brookhaven (BNL), az Argonne (ANL) és a Lawrence Livermore Nemzeti Laboratóriumokat (LLNL) vette célba − derül ki az internetes feljegyzésekből, amelyek szerint a hackerek hamis bejelentkezési oldalakat hoztak létre az egyes intézmények számára, és emaileket küldtek az atomkutatóknak, hogy rávegyék őket jelszavaik felfedésére − írja oknyomozó riportjában a Reuters hírügynökség.
A Reuters nem tudta megállapítani, hogy miért a laboratóriumok voltak a célpontok, vagy hogy a behatolási kísérletek sikeresek voltak-e. A BNL szóvivője nem kívánt nyilatkozni. Az LLNL nem válaszolt a megkeresésre. Az ANL szóvivője az amerikai energiaügyi minisztériumhoz irányította a kérdéseket, amely szintén nem kívánt nyilatkozni.
Kiberbiztonsági kutatók és nyugati kormányzati tisztviselők szerint a Cold River az ukrajnai invázió óta fokozta a Kijev szövetségesei elleni hackerkampányát. Az amerikai laboratóriumok elleni digitális támadásra akkor került sor, amikor ENSZ-szakértők az orosz ellenőrzés alatt álló ukrán területre léptek, hogy megvizsgálják Európa legnagyobb atomerőművét, és felmérjék, hogy fennállhat-e katasztrófa veszélye.
A Cold River, amely először a hírszerzési szakemberek radarján tűnt fel, miután 2016-ban célba vette a brit külügyminisztériumot, az elmúlt években több tucat más, nagy nyilvánosságot kapott incidensben is részt vett − derül ki kilenc kiberbiztonsági cég tagjaival készített interjúkból. A Reuters a 2015 és 2020 közötti hackerakciókban használt e-mail fiókokat egy oroszországi Szijktjivkar városában dolgozó informatikushoz vezette vissza.
Ez az egyik legfontosabb hackercsoport, amelyről még sosem hallottál. Közvetlenül részt vesznek a Kreml információs műveleteinek támogatásában
− mondta Adam Meyer, a CrowdStrike amerikai kiberbiztonsági cég hírszerzési részlegének vezető alelnöke.
Oroszország Szövetségi Biztonsági Szolgálata (FSZB) és Oroszország washingtoni nagykövetsége nem válaszolt az e-mailben küldött megkeresésekre.
Nyugati tisztviselők szerint az orosz kormány világelső a hackertámadásokban, és a kibertérben külföldi kormányok és iparágak után kémkedik, hogy versenyelőnyre tegyen szert. Moszkva azonban következetesen tagadja, hogy hacker-műveleteket hajtana végre.
A Reuters öt iparági szakértőnek mutatta meg az eredményeket, akik megerősítették a Cold River részvételét a nukleáris laboratóriumok feltörési kísérleteiben, a kutatók által a csoporthoz hozzákapcsolt digitális ujjlenyomatok alapján.
Az amerikai Nemzetbiztonsági Ügynökség (NSA) nem kívánta kommentálni a Cold River tevékenységét. A brit Globális Kommunikációs Főhivatal (GCHQ), az NSA brit megfelelője, nem nyilatkozott. Az amerikai külügyminisztérium sem kívánt nyilatkozni.
Májusban a Cold River feltörte és kiszivárogtatta a brit hírszerzés, az MI6 korábbi vezetőjének emailjeit. A kiberbiztonsági szakértők és kelet-európai biztonsági tisztviselők szerint ez csak egy volt az oroszországi hackerek által tavaly végrehajtott számos szivárogtató művelet közül, amelyekben bizalmas kommunikációk kerültek nyilvánosságra Nagy-Britanniában, Lengyelországban és Lettországban.
Egy másik, Moszkva kritikusait célzó kémkedési műveletben a Cold River a francia SEKOIA.IO kiberbiztonsági cég szerint legalább három, háborús bűncselekményeket vizsgáló európai, nem kormányzati szervezetet utánzó domainneveket regisztrált.
A civilszervezetekkel kapcsolatos hacker-próbálkozások közvetlenül az ENSZ független vizsgálóbizottsága által készített jelentés október 18-i közzététele előtt és után történtek, amely szerint az orosz erők voltak felelősek az emberi jogok megsértésének „túlnyomó többségéért” az ukrajnai háború első heteiben, amelyet Oroszország különleges katonai műveletnek nevezett.
A SEKOIA.IO blogbejegyzésében azt írta, hogy a Cold River a nem kormányzati szervezetek megcélzásával igyekezett hozzájárulni „az orosz hírszerzésnek az azonosított háborús bűncselekményekkel kapcsolatos bizonyítékok és/vagy nemzetközi igazságszolgáltatási eljárásokkal kapcsolatos iratok gyűjtéséhez”. A Reuters nem tudta függetlenül ellenőrízni, hogy a Cold River miért vette célba a nem kormányzati szervezeteket.
A Commission for International Justice and Accountability (CIJA), egy egykori háborús bűnökkel foglalkozó nyomozó által alapított nonprofit szervezet azt mondta, hogy az elmúlt nyolc évben többször is célba vették az oroszok által támogatott hackerek, sikertelenül. A másik két civil szervezet, az Erőszakmentes Konfliktusok Nemzetközi Központja és a Humanitárius Párbeszéd Központja nem válaszolt a megkeresésekre.
Oroszország washingtoni nagykövetsége nem válaszolt a CIJA elleni hackerkísérlettel kapcsolatos megkeresésre.
A Cold River olyan taktikákat alkalmazott, mint például a munkavállalók megkörnyékezése, hogy hamis weboldalakon adják meg a felhasználónevüket és jelszavukat, hogy hozzáférjenek a számítógépes rendszereikhez − mondták biztonsági kutatók a Reutersnek. Ehhez a Cold River különböző e-mail fiókokat használt, hogy olyan domain neveket regisztráljon, mint a „goo-link.online” és az „online365-office.com”, amelyek ránézésre hasonlónak tűnnek az olyan cégek által üzemeltetett legális szolgáltatásokhoz, mint a Google és a Microsoft − mondták a biztonsági kutatók.
A Cold River az elmúlt években több olyan hibát is elkövetett, amelyek lehetővé tették a kiberbiztonsági elemzők számára, hogy pontosan meghatározzák az egyik tag pontos tartózkodási helyét és személyazonosságát, ami az eddigi legvilágosabb jelét adja a csoport orosz eredetének − állítják a Google internetes óriáscég, a BAE brit védelmi vállalkozó és a Nisos amerikai hírszerző cég szakértői.
A Cold River küldetésekhez használt több személyes e-mail cím Andrej Korinetsz 35 éves informatikai dolgozóhoz és testépítőhöz tartozik, aki a Moszkvától mintegy 1600 kilométerre északkeletre fekvő Sziktivkarban él. Ezeknek a fiókoknak a használata digitális bizonyítékokat hagyott maga után, amelyeket különböző hackerek Korinetsz online életére vezetnek vissza, beleértve a közösségi média fiókokat és személyes weboldalakat.
Billy Leonard, a Google fenyegetéselemző csoportjának biztonsági mérnöke, aki nemzetállami hackertámadásokat vizsgál, azt mondta, hogy Korinetsz érintett az ügyben.
A Google ezt az egyént a Cold River orosz hackercsoporthoz és műveleteikhez kötötte
− mondta.
Vincas Ciziunas, a Nisos biztonsági kutatója, aki Korinetsz e-mail címeit szintén a Cold River tevékenységével hozta összefüggésbe, azt mondta, hogy az informatikus „központi figurának” tűnt Sziktivkar hacker közösségében. Ciziunas felfedezett egy sor orosz nyelvű internetes fórumot, köztük egy eZine-t, ahol Korinetsz a hackertevékenységről beszélt, és megosztotta ezeket a bejegyzéseket a Reuters-szel.
Korinetsz a Reutersnek adott interjújában megerősítette, hogy az érintett e-mail fiókok az ő tulajdonában vannak, de tagadta, hogy tudott volna a Cold Riverről. Elmondta, hogy az egyetlen tapasztalata a hackeléssel kapcsolatban évekkel ezelőtt volt, amikor egy orosz bíróság megbírságolta egy korábbi ügyféllel folytatott üzleti vitában elkövetett számítógépes bűncselekmény miatt.
A Reuters azonban meg tudta erősíteni Korinetsz és a Cold River kapcsolatát a Constella Intelligence és a DomainTools kiberbiztonsági kutatási platformok által összeállított adatok segítségével, amelyek segítenek a weboldalak tulajdonosainak azonosításában Az adatokból kiderült, hogy Korinetsz e-mail címein számos olyan weboldal volt regisztrálva, amelyeket a Cold River hackerkampányaiban használtak 2015 és 2020 között.
Nem világos, hogy Korinets 2020 óta részt vett-e hackerakciókban. Nem adott magyarázatot arra, hogy miért használták ezeket az e-mail címeket, és nem válaszolt a további telefonhívásokra és e-mailben feltett kérdésekre.
(Borítókép: Getty Images)