Reuters: Ρώσοι χάκερς επιτέθηκαν σε πυρηνικά εργαστήρια στις ΗΠΑ - Η σχέση της Cold River με Πούτιν

Όπως αναφέρει το ρεπορτάζ μεταξύ του περασμένου Αυγούστου και Σεπτεμβρίου και ενώ ο Βλαντίμιρ Πούτιν υποστήριζε ότι η Ρωσία ήταν πρόθυμη να χρησιμοποιήσει πυρηνικά όπλα για να υπερασπιστεί τα εδάφη της, η «Cold River» έβαλε στόχο τα εξής πυρηνικά εργαστήρια:

• Brookhaven (BNL)
• Argonne (ANL)
• Lawrence Livermore National Laboratories (LLNL)

Σύμφωνα με διαδικτυακά αρχεία, οι χάκερς δημιούργησαν ψεύτικες σελίδες σύνδεσης για κάθε ίδρυμα και έστελναν e-mail σε πυρηνικούς επιστήμονες με σκοπό να τους παγιδεύσουν και να αποσπάσουν τους κωδικούς τους. Το Reuters δεν μπόρεσε να προσδιορίσει τον λόγο για τον οποίο στοχοποιήθηκαν τα εργαστήρια ή αν οποιαδήποτε απόπειρα εισβολής ήταν επιτυχής.

Η «Cold River» έχει κλιμακώσει την εκστρατεία κυβερνοεπιθέσεων εναντίον των συμμάχων του Κιέβου από την έναρξη της εισβολής στην Ουκρανία. Εμφανίστηκε για πρώτη φορά στο «ραντάρ» των επαγγελματιών των μυστικών υπηρεσιών μετά τη στοχοποίηση του βρετανικού υπουργείου Εξωτερικών το 2016 και έχει εμπλακεί σε δεκάδες άλλα περιστατικά hacking υψηλού προφίλ τα τελευταία χρόνια.

Το Reuters εντόπισε τους λογαριασμούς ηλεκτρονικού ταχυδρομείου που χρησιμοποιήθηκαν στις επιχειρήσεις hacking μεταξύ 2015 και 2020 σε έναν εργαζόμενο πληροφορικής στη ρωσική πόλη Syktyvkar.

«Πρόκειται για μία από τις πιο σημαντικές ομάδες που έχετε ποτέ ακούσει», δήλωσε ο Άνταμ Μάγιερς, αντιπρόεδρος πληροφοριών στην αμερικανική εταιρεία κυβερνοασφάλειας CrowdStrike.

«Συμμετέχουν στην άμεση υποστήριξη των πληροφοριακών επιχειρήσεων του Κρεμλίνου». Η Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB), η υπηρεσία εσωτερικής ασφάλειας που διεξάγει επίσης εκστρατείες κατασκοπείας για λογαριασμό της Μόσχας, και η πρεσβεία της Ρωσίας στην Ουάσινγκτον δεν απάντησαν σε ηλεκτρονικά αιτήματα για σχολιασμό.

Δυτικοί αξιωματούχοι λένε ότι η ρωσική κυβέρνηση έχει στη διάθεσή της τις πιο εξελιγμένες υπηρεσίες hacking τις οποίες χρησιμοποιεί κατά κόρον για να κατασκοπεύει ξένες κυβερνήσεις και βιομηχανίες προκειμένου να επιτύχει ανταγωνιστικό πλεονέκτημα. Ωστόσο, η Μόσχα αρνείται συστηματικά ότι πράττει κάτι τέτοιο.

Το Reuters έδειξε τα ευρήματά του σε πέντε εμπειρογνώμονες του κλάδου, οι οποίοι επιβεβαίωσαν την εμπλοκή της «Cold River» στις απόπειρες παραβίασης των πυρηνικών εργαστηρίων, με βάση κοινά ψηφιακά αποτυπώματα που οι ερευνητές έχουν συνδέσει στο παρελθόν με την ομάδα.

Η Εθνική Υπηρεσία Ασφαλείας των ΗΠΑ (NSA) αρνήθηκε να σχολιάσει τις δραστηριότητες της «Cold River». Το Παγκόσμιο Αρχηγείο Επικοινωνιών της Βρετανίας (GCHQ), το αντίστοιχο της NSA, επίσης δεν σχολίασε την αποκάλυψη. Το υπουργείο Εξωτερικών αρνήθηκε επίσης να σχολιάσει.

Ο σκοτεινός ρόλος της «Cold River»

Μόλις τον περασμένο Μάιο, η «Cold River» παραβίασε και διέρρευσε μηνύματα ηλεκτρονικού ταχυδρομείου που ανήκαν στον πρώην επικεφαλής της βρετανικής κατασκοπευτικής υπηρεσίας MI6. Αυτή ήταν μία μόνο από τις πολλές επιχειρήσεις «hack and leak» από χάκερς που συνδέονται με τη Ρωσία την περασμένη χρονιά. Από την επίθεση αυτή δημοσιοποιήθηκαν εμπιστευτικές συνομιλίες στη Βρετανία, την Πολωνία και τη Λετονία, σύμφωνα με εμπειρογνώμονες σε θέματα κυβερνοασφάλειας και αξιωματούχους ασφαλείας της Ανατολικής Ευρώπης.

Σε μια άλλη πρόσφατη επιχείρηση κατασκοπείας με στόχο επικριτές της Μόσχας, η «Cold River» καταχώρησε ονόματα σχεδιασμένα να μιμούνται τουλάχιστον τρεις ευρωπαϊκές ΜΚΟ που διερευνούν εγκλήματα πολέμου, σύμφωνα με τη γαλλική εταιρεία κυβερνοασφάλειας SEKOIA.IO.

Οι απόπειρες χάκινγκ που σχετίζονται με τις ΜΚΟ σημειώθηκαν λίγο πριν και μετά τη δημοσίευση στις 18 Οκτωβρίου της έκθεσης μιας ανεξάρτητης Επιτροπής Έρευνας του ΟΗΕ, η οποία διαπίστωσε ότι οι ρωσικές δυνάμεις ήταν υπεύθυνες για τη «συντριπτική πλειονότητα» των παραβιάσεων των ανθρωπίνων δικαιωμάτων κατά τις πρώτες εβδομάδες του πολέμου.

Σε ανάρτηση στο ιστολόγιο της, η SEKOIA.IO ανέφερε ότι, με βάση τη στόχευσή της σε ΜΚΟ, η «Cold River» επιδιώκει να συμβάλει στη «συλλογή πληροφοριών για λογαριασμό της Ρωσίας σχετικά με αναγνωρισμένα στοιχεία που σχετίζονται με εγκλήματα πολέμου και / ή διαδικασίες διεθνούς δικαιοσύνης».

Η Επιτροπή για τη Διεθνή Δικαιοσύνη και Λογοδοσία (CIJA), μια μη κερδοσκοπική οργάνωση που ιδρύθηκε από έναν βετεράνο ερευνητή εγκλημάτων πολέμου, δήλωσε ότι είχε επανειλημμένα στοχοποιηθεί από υποστηριζόμενους από τη Ρωσία χάκερ τα τελευταία οκτώ χρόνια χωρίς επιτυχία. Η πρεσβεία της Ρωσίας στην Ουάσινγκτον δεν απάντησε σε αίτημα για σχολιασμό σχετικά με την απόπειρα χάκερ κατά του CIJA.

Η «Cold River» χρησιμοποίησε τακτικές όπως το να εξαπατά τους ανθρώπους ώστε να εισάγουν τα ονόματα χρήστη και τους κωδικούς πρόσβασης σε ψεύτικους ιστοτόπους για να αποκτήσουν πρόσβαση στα συστήματα υπολογιστών τους, δήλωσαν ερευνητές ασφαλείας στο Reuters. Για να το πετύχει αυτό, η «Cold River» χρησιμοποίησε διάφορους λογαριασμούς ηλεκτρονικού ταχυδρομείου για να καταχωρήσει ονόματα τομέα, όπως «goo-link.online» και «online365-office.com», τα οποία με μια ματιά μοιάζουν με νόμιμες υπηρεσίες που λειτουργούν από εταιρείες όπως η Google και η Microsoft.

Οι βαθιές σχέσεις με το Κρεμλίνο

Η «Cold River» έκανε αρκετά λάθη τα τελευταία χρόνια, τα οποία επέτρεψαν στους αναλυτές κυβερνοασφάλειας να εντοπίσουν την ακριβή τοποθεσία και την ταυτότητα ενός από τα μέλη της, παρέχοντας την πιο σαφή ένδειξη μέχρι στιγμής για τη ρωσική προέλευση της ομάδας, σύμφωνα με εμπειρογνώμονες της Google, της βρετανικής αμυντικής εταιρείας BAE και της αμερικανικής εταιρείας πληροφοριών Nisos.

Πολλές προσωπικές διευθύνσεις ηλεκτρονικού ταχυδρομείου που χρησιμοποιήθηκαν για τη δημιουργία αποστολών της «Cold River» ανήκουν στον Αντρέι Κόρινετς, έναν 35χρονο εργαζόμενο στον τομέα της πληροφορικής και bodybuilder στο Syktyvkar, περίπου 1.600 χιλιόμετρα βορειοανατολικά της Μόσχας.

Η χρήση αυτών των λογαριασμών άφησε ένα ίχνος ψηφιακών αποδεικτικών στοιχείων από διάφορες παραβιάσεις πίσω στην ηλεκτρονική ζωή του Κόρινετς, συμπεριλαμβανομένων λογαριασμών στα μέσα κοινωνικής δικτύωσης και προσωπικών ιστότοπων.

Ο Μπίλι Λέοναρντ, μηχανικός ασφαλείας στην ομάδα ανάλυσης απειλών της Google που ερευνά τις επιθέσεις hacking από κράτη, δήλωσε ότι ο Κόρινετς ήταν εμπλεκόμενος. «Η Google έχει συνδέσει αυτό το άτομο με τη ρωσική ομάδα hacking Cold River και τις πρώτες επιχειρήσεις της», δήλωσε.

Ο Βίνκας Σιτσιούνας, ερευνητής ασφαλείας στη Nisos, ο οποίος επίσης συνέδεσε τις διευθύνσεις ηλεκτρονικού ταχυδρομείου του Κόρινετς με τη δραστηριότητα της «Cold River», δήλωσε ότι ο εργαζόμενος στον τομέα της πληροφορικής φαινόταν να είναι «κεντρική φιγούρα» στην κοινότητα hacking της Syktyvkar, ιστορικά.

Ο Σιτσιούνας ανακάλυψε μια σειρά ρωσόφωνων διαδικτυακών φόρουμ, συμπεριλαμβανομένου του eZine στο οποίο ο Κόρινετς είχε συζητήσει για επιθέσεις, και μοιράστηκε αυτές τις αναρτήσεις με το Reuters.

Ο Κόρινετς επιβεβαίωσε ότι κατείχε τους σχετικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου σε συνέντευξή του στο Reuters, αλλά αρνήθηκε οποιαδήποτε σχέση με την «Cold River». Είπε ότι η μόνη του εμπειρία με επιθέσεις ήταν πριν από χρόνια, όταν του επιβλήθηκε πρόστιμο από ρωσικό δικαστήριο για ένα σχετικό έγκλημα που διαπράχθηκε κατά τη διάρκεια μιας επιχειρηματικής διαμάχης με έναν πρώην πελάτη.

Σύμφωνα με το Reuters οι διευθύνσεις ηλεκτρονικού ταχυδρομείου του Κόρινετς καταχώρησαν πολυάριθμους ιστότοπους που χρησιμοποιήθηκαν σε εκστρατείες hacking της «Cold River» μεταξύ 2015 και 2020.

Δεν είναι σαφές αν ο Κόρινετς έχει εμπλακεί σε επιχειρήσεις hacking από το 2020 και μετά. Δεν έδωσε καμία εξήγηση για τον λόγο που χρησιμοποιήθηκαν αυτές οι διευθύνσεις ηλεκτρονικού ταχυδρομείου και δεν απάντησε σε περαιτέρω τηλεφωνήματα και ερωτήσεις μέσω ηλεκτρονικού ταχυδρομείου.