Cyberatak rosyjskich hakerów na amerykańskie laboratoria jądrowe

Chodzi o laboratoria w Brookhaven, Argonne i Lawrence Livermore w USA – podał Reuters, powołując się także na opinie pięciu ekspertów ds. cyberbezpieczeństwa.

Hakerzy mieli tworzyć fałszywe strony logowania dla każdej instytucji i wysyłać maile do naukowców specjalizujących się w tematyce jądrowej, by wymusić na nich zmianę haseł (i ich późniejsze przechwycenie).

Nie wiadomo dlaczego laboratoria były celem ataków, ani czy jakakolwiek z przeprowadzonych prób się powiodła. Redakcja nie uzyskała też komentarzy ze strony rzeczników jednostek. Jednak do cyberataków doszło w czasie, gdy Rosja ostrzegała, że może użyć broni nuklearnej, by "bronić swojego terytorium".

Działanie grupy Cold River

Grupa Cold River miała nasilić działania względem Ukrainy i sojuszników Kijowa od czasu rosyjskiej inwazji. Cyberprzestępcy po raz pierwszy na radarze cyberspecjalistów mieli pojawić się po ataku na brytyjskie Ministerstwo Spraw Zagranicznych w 2016 roku.

„To jedna z najważniejszych grup hakerskich (...). Są zaangażowani w bezpośrednie wspieranie operacji informacyjnych Kremla” – skomentował Adam Meyers, starszy wiceprezes ds. wywiadu w amerykańskiej firmie CrowdStrike, zajmującej się cyberbezpieczeństwem.

Reuters przedstawił swoje ustalenia pięciu ekspertom, którzy potwierdzili udział Cold River w próbach włamań do laboratoriów nuklearnych. Cyberprzestępcy m.in. w maju 2022 roku włamali się i ujawnili maile należące do byłego szefa brytyjskiej służby szpiegowskiej MI6.

Według francuskiej firmy specjalizującej się w cyberbezpieczeństwie SEKOIA.IO, w innej niedawnej operacji szpiegowskiej wymierzonej w oponentów Moskwy, Cold River zarejestrowała nazwy domen, które miały naśladować co najmniej trzy europejskie organizacje pozarządowe, które zajmują się badaniem zbrodni wojennych.

Próby cyberprzestępców związane były z organizacjami pozarządowymi i miały miejsce tuż przed i po opublikowaniu 18 października raportu przez komisję ONZ, która stwierdziła, że siły rosyjskie były odpowiedzialne za „zdecydowaną większość” naruszeń praw człowieka w pierwszych tygodniach wojny na Ukrainie.

Zdaniem firmy SEKOIA.IO, Cold River chciała przyczynić się do zbierania przez rosyjski wywiad informacji o dowodach związanych ze zbrodniami wojennymi i dotyczących procedur stosowanych przez międzynarodowy wymiar sprawiedliwości.

Namierzono jednego z hakerów

Zdaniem ekspertów, wiele adresów mailowych, używanych do działania Cold River mogło należeć do Andreya Korinetsa, 35-letniego pracownika IT i kulturysty w Syktywkar. Adresy były powiązane także z kontami w mediach społecznościowych i jego stronami internetowymi.

Billy Leonard, inżynier bezpieczeństwa w zespole ds. analizy zagrożeń Google, ocenił, że Korinets był zamieszany w działania grupy Cold River. „Google powiązał tę osobę z rosyjską grupą hakerską Cold River i jej wcześniejszymi operacjami” – powiedział. Potwierdził to równiez badacz ds. bezpieczeństwa w firmie Nisos.

Sam Korinets powiedział, że jest właścicielem poszczególnych kont e-mail w rozmowie z Reutersem, ale zaprzeczył jakimkolwiek powiązaniom z Cold River. Natomiast redakcja potwierdziła jego relacje z grupą APT między 2015 a 2020 rokiem, natomiast nie jest jasne czy przeprowadzał on operacje cyberprzestępcze po 2022 roku.

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].