Cyberbezpieczeństwo

Cyberatak rosyjskich hakerów na amerykańskie laboratoria jądrowe

Grupa Cold River działa od kilku lat na rzecz Kremla
Grupa Cold River działa od kilku lat na rzecz Kremla
Fot. Raúl Nájera/ Unsplash; Elena Mozhvilo/ Unsplash; Domena publiczna

Między sierpniem a wrześniem 2022 roku celem rosyjskiej grupy Cold River były trzy amerykańskie laboratoria jądrowe. Nie wiadomo jednak, jaki był efekt tych działań.

Chodzi o laboratoria w Brookhaven, Argonne i Lawrence Livermore w USA – podał Reuters, powołując się także na opinie pięciu ekspertów ds. cyberbezpieczeństwa.

Hakerzy mieli tworzyć fałszywe strony logowania dla każdej instytucji i wysyłać maile do naukowców specjalizujących się w tematyce jądrowej, by wymusić na nich zmianę haseł (i ich późniejsze przechwycenie).

Nie wiadomo dlaczego laboratoria były celem ataków, ani czy jakakolwiek z przeprowadzonych prób się powiodła. Redakcja nie uzyskała też komentarzy ze strony rzeczników jednostek. Jednak do cyberataków doszło w czasie, gdy Rosja ostrzegała, że może użyć broni nuklearnej, by "bronić swojego terytorium".

Działanie grupy Cold River

Grupa Cold River miała nasilić działania względem Ukrainy i sojuszników Kijowa od czasu rosyjskiej inwazji. Cyberprzestępcy po raz pierwszy na radarze cyberspecjalistów mieli pojawić się po ataku na brytyjskie Ministerstwo Spraw Zagranicznych w 2016 roku.

„To jedna z najważniejszych grup hakerskich (...). Są zaangażowani w bezpośrednie wspieranie operacji informacyjnych Kremla” – skomentował Adam Meyers, starszy wiceprezes ds. wywiadu w amerykańskiej firmie CrowdStrike, zajmującej się cyberbezpieczeństwem.

Reuters przedstawił swoje ustalenia pięciu ekspertom, którzy potwierdzili udział Cold River w próbach włamań do laboratoriów nuklearnych. Cyberprzestępcy m.in. w maju 2022 roku włamali się i ujawnili maile należące do byłego szefa brytyjskiej służby szpiegowskiej MI6.

Czytaj też

Według francuskiej firmy specjalizującej się w cyberbezpieczeństwie SEKOIA.IO, w innej niedawnej operacji szpiegowskiej wymierzonej w oponentów Moskwy, Cold River zarejestrowała nazwy domen, które miały naśladować co najmniej trzy europejskie organizacje pozarządowe, które zajmują się badaniem zbrodni wojennych.

Próby cyberprzestępców związane były z organizacjami pozarządowymi i miały miejsce tuż przed i po opublikowaniu 18 października raportu przez komisję ONZ, która stwierdziła, że siły rosyjskie były odpowiedzialne za „zdecydowaną większość” naruszeń praw człowieka w pierwszych tygodniach wojny na Ukrainie.

Zdaniem firmy SEKOIA.IO, Cold River chciała przyczynić się do zbierania przez rosyjski wywiad informacji o dowodach związanych ze zbrodniami wojennymi i dotyczących procedur stosowanych przez międzynarodowy wymiar sprawiedliwości.

Namierzono jednego z hakerów

Zdaniem ekspertów, wiele adresów mailowych, używanych do działania Cold River mogło należeć do Andreya Korinetsa, 35-letniego pracownika IT i kulturysty w Syktywkar. Adresy były powiązane także z kontami w mediach społecznościowych i jego stronami internetowymi.

Billy Leonard, inżynier bezpieczeństwa w zespole ds. analizy zagrożeń Google, ocenił, że Korinets był zamieszany w działania grupy Cold River. „Google powiązał tę osobę z rosyjską grupą hakerską Cold River i jej wcześniejszymi operacjami” – powiedział. Potwierdził to równiez badacz ds. bezpieczeństwa w firmie Nisos.

Sam Korinets powiedział, że jest właścicielem poszczególnych kont e-mail w rozmowie z Reutersem, ale zaprzeczył jakimkolwiek powiązaniom z Cold River. Natomiast redakcja potwierdziła jego relacje z grupą APT między 2015 a 2020 rokiem, natomiast nie jest jasne czy przeprowadzał on operacje cyberprzestępcze po 2022 roku.

Czytaj też

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze