Reuters: Στόχος χάκερς πυρηνικά εργαστήρια στις ΗΠΑ – Η διαβόητη Cold River και η σχέση με το Κρεμλίνο

Reuters: Στόχος χάκερς πυρηνικά εργαστήρια στις ΗΠΑ – Η διαβόητη Cold River και η σχέση με το Κρεμλίνο
istock

Ποια είναι η ομάδα Cold River, που έβαλε στο στόχαστρο πυρηνικά εργαστήρια στις ΗΠΑ. Ο 35χρονος εργαζόμενος στον τομέα της πληροφορικής και bodybuilder, που εκτιμάται ότι έχει ηγετικό ρόλο.

Στην αποκάλυψη ότι η ρωσική ομάδα χάκερ Cold River έβαλε στο στόχαστρο τρία εργαστήρια πυρηνικής έρευνας στις Ηνωμένες Πολιτείες το περασμένο καλοκαίρι προχώρησε το Reuters.

Οι επιθέσεις αυτές πραγματοποιήθηκαν μεταξύ Αυγούστου και Σεπτεμβρίου, την περίοδο που ο πρόεδρος Βλαντίμιρ Πούτιν ανέφερε ότι η Ρωσία θα ήταν πρόθυμη να χρησιμοποιήσει πυρηνικά όπλα για να υπερασπιστεί την επικράτειά της. Τότε, η Cold River έβαλε στο στόχαστρο τα Εθνικά Εργαστήρια Brookhaven (BNL), Argonne (ANL) και Lawrence Livermore (LLNL), σύμφωνα με αρχεία στο διαδίκτυο που έδειξαν ότι οι χάκερ δημιούργησαν ψεύτικες σελίδες σύνδεσης για κάθε ίδρυμα και έστειλαν email σε πυρηνικούς επιστήμονες με σκοπό να τους κάνουν να αποκαλύψουν τους κωδικούς τους. Το Reuters εξέτασε τα εν λόγω διαδικτυακά αρχεία, ενώ παράλληλα μίλησε και με πέντε εμπειρογνώμονες σε θέματα ασφάλειας στον κυβερνοχώρο. Άγνωστος παραμένει ο λόγος για τον οποίο τα εργαστήρια τέθηκαν στο στόχαστρο καθώς επίσης και το αν πραγματοποιήθηκε οποιαδήποτε απόπειρα εισβολής.

Η Cold River έχει κλιμακώσει τις επιθέσεις της εναντίον των συμμάχων του Κιέβου μετά την εισβολή στην Ουκρανία, σύμφωνα με ερευνητές κυβερνοασφάλειας και δυτικούς κυβερνητικούς αξιωματούχους. Η αιφνιδιαστική κίνηση κατά των αμερικανικών εργαστηρίων σημειώθηκε όταν εμπειρογνώμονες του ΟΗΕ εισήλθαν στο ελεγχόμενο από τη Ρωσία ουκρανικό έδαφος για να επιθεωρήσουν το μεγαλύτερο εργοστάσιο ατομικής ενέργειας της Ευρώπης και να εκτιμήσουν αν υπάρχει κίνδυνος από τη ραδιενέργεια, όπως δήλωσαν και οι δύο πλευρές, εν μέσω σφοδρών βομβαρδισμών σε κοντινή απόσταση.

Η Cold River, η οποία εμφανίστηκε για πρώτη φορά στο ραντάρ των επαγγελματιών των μυστικών υπηρεσιών μετά τη στοχοποίηση του βρετανικού υπουργείου Εξωτερικών το 2016, έχει εμπλακεί σε δεκάδες άλλα περιστατικά hacking υψηλού προφίλ τα τελευταία χρόνια. Το Reuters εντόπισε τους λογαριασμούς ηλεκτρονικού ταχυδρομείου που χρησιμοποιήθηκαν στις επιχειρήσεις hacking μεταξύ 2015 και 2020 σε έναν εργαζόμενο πληροφορικής στη ρωσική πόλη Syktyvkar.

“Πρόκειται για μία από τις πιο σημαντικές ομάδες που έχετε ποτέ ακούσει”, δήλωσε ο Άνταμ Μάγιερς, αντιπρόεδρος πληροφοριών στην αμερικανική εταιρεία κυβερνοασφάλειας CrowdStrike. “Συμμετέχουν στην άμεση υποστήριξη των πληροφοριακών επιχειρήσεων του Κρεμλίνου”. Η Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB), η υπηρεσία εσωτερικής ασφάλειας που διεξάγει επίσης εκστρατείες κατασκοπείας για λογαριασμό της Μόσχας, και η πρεσβεία της Ρωσίας στην Ουάσινγκτον δεν απάντησαν σε ηλεκτρονικά αιτήματα για σχολιασμό.

Δυτικοί αξιωματούχοι λένε ότι η ρωσική κυβέρνηση έχει στη διάθεσή της τις πιο εξελιγμένες υπηρεσίες hacking τις οποίες χρησιμοποιεί κατά κόρον για να κατασκοπεύει ξένες κυβερνήσεις και βιομηχανίες προκειμένου να επιτύχει ανταγωνιστικό πλεονέκτημα. Ωστόσο, η Μόσχα αρνείται συστηματικά ότι πράττει κάτι τέτοιο.

Το Reuters έδειξε τα ευρήματά του σε πέντε εμπειρογνώμονες του κλάδου, οι οποίοι επιβεβαίωσαν την εμπλοκή της Cold River στις απόπειρες παραβίασης των πυρηνικών εργαστηρίων, με βάση κοινά ψηφιακά αποτυπώματα που οι ερευνητές έχουν συνδέσει στο παρελθόν με την ομάδα.

Η Εθνική Υπηρεσία Ασφαλείας των ΗΠΑ (NSA) αρνήθηκε να σχολιάσει τις δραστηριότητες της Cold River. Το Παγκόσμιο Αρχηγείο Επικοινωνιών της Βρετανίας (GCHQ), το αντίστοιχο της NSA, επίσης δεν σχολίασε την αποκάλυψη. Το υπουργείο Εξωτερικών αρνήθηκε επίσης να σχολιάσει.

Ο ρόλος της Cold River

Τον Μάιο, η Cold River παραβίασε και διέρρευσε μηνύματα ηλεκτρονικού ταχυδρομείου που ανήκαν στον πρώην επικεφαλής της βρετανικής κατασκοπευτικής υπηρεσίας MI6. Αυτή ήταν μία μόνο από τις πολλές επιχειρήσεις “hack and leak” από χάκερς που συνδέονται με τη Ρωσία την περασμένη χρονιά. Από την επίθεση αυτή δημοσιοποιήθηκαν εμπιστευτικές συνομιλίες στη Βρετανία, την Πολωνία και τη Λετονία, σύμφωνα με εμπειρογνώμονες σε θέματα κυβερνοασφάλειας και αξιωματούχους ασφαλείας της Ανατολικής Ευρώπης.

Σε μια άλλη πρόσφατη επιχείρηση κατασκοπείας με στόχο επικριτές της Μόσχας, η Cold River καταχώρησε ονόματα σχεδιασμένα να μιμούνται τουλάχιστον τρεις ευρωπαϊκές ΜΚΟ που διερευνούν εγκλήματα πολέμου, σύμφωνα με τη γαλλική εταιρεία κυβερνοασφάλειας SEKOIA.IO.

Οι απόπειρες χάκινγκ που σχετίζονται με τις ΜΚΟ σημειώθηκαν λίγο πριν και μετά τη δημοσίευση στις 18 Οκτωβρίου της έκθεσης μιας ανεξάρτητης επιτροπής έρευνας του ΟΗΕ, η οποία διαπίστωσε ότι οι ρωσικές δυνάμεις ήταν υπεύθυνες για τη “συντριπτική πλειονότητα” των παραβιάσεων των ανθρωπίνων δικαιωμάτων κατά τις πρώτες εβδομάδες του πολέμου.

Σε ανάρτηση στο ιστολόγιο της, η SEKOIA.IO ανέφερε ότι, με βάση τη στόχευσή της σε ΜΚΟ, η Cold River επιδιώκει να συμβάλει στη “συλλογή πληροφοριών για λογαριασμό της Ρωσίας σχετικά με αναγνωρισμένα στοιχεία που σχετίζονται με εγκλήματα πολέμου και/ή διαδικασίες διεθνούς δικαιοσύνης”.

Η Επιτροπή για τη Διεθνή Δικαιοσύνη και Λογοδοσία (CIJA), μια μη κερδοσκοπική οργάνωση που ιδρύθηκε από έναν βετεράνο ερευνητή εγκλημάτων πολέμου, δήλωσε ότι είχε επανειλημμένα στοχοποιηθεί από υποστηριζόμενους από τη Ρωσία χάκερ τα τελευταία οκτώ χρόνια χωρίς επιτυχία. Η πρεσβεία της Ρωσίας στην Ουάσινγκτον δεν απάντησε σε αίτημα για σχολιασμό σχετικά με την απόπειρα χάκερ κατά του CIJA.

Η Cold River χρησιμοποίησε τακτικές όπως το να εξαπατά τους ανθρώπους ώστε να εισάγουν τα ονόματα χρήστη και τους κωδικούς πρόσβασης σε ψεύτικους ιστότοπους για να αποκτήσουν πρόσβαση στα συστήματα υπολογιστών τους, δήλωσαν ερευνητές ασφαλείας στο Reuters. Για να το πετύχει αυτό, η Cold River χρησιμοποίησε διάφορους λογαριασμούς ηλεκτρονικού ταχυδρομείου για να καταχωρήσει ονόματα τομέα, όπως “goo-link.online” και “online365-office.com”, τα οποία με μια ματιά μοιάζουν με νόμιμες υπηρεσίες που λειτουργούν από εταιρείες όπως η Google και η Microsoft.

Βαθιές σχέσεις με τη Ρωσία

Η Cold River έκανε αρκετά λάθη τα τελευταία χρόνια, τα οποία επέτρεψαν στους αναλυτές κυβερνοασφάλειας να εντοπίσουν την ακριβή τοποθεσία και την ταυτότητα ενός από τα μέλη της, παρέχοντας την πιο σαφή ένδειξη μέχρι στιγμής για τη ρωσική προέλευση της ομάδας, σύμφωνα με εμπειρογνώμονες της Google, της βρετανικής αμυντικής εταιρείας BAE και της αμερικανικής εταιρείας πληροφοριών Nisos.

Πολλές προσωπικές διευθύνσεις ηλεκτρονικού ταχυδρομείου που χρησιμοποιήθηκαν για τη δημιουργία αποστολών του Cold River ανήκουν στον Andrey Korinets, έναν 35χρονο εργαζόμενο στον τομέα της πληροφορικής και bodybuilder στο Syktyvkar, περίπου 1.600 χιλιόμετρα βορειοανατολικά της Μόσχας. Η χρήση αυτών των λογαριασμών άφησε ένα ίχνος ψηφιακών αποδεικτικών στοιχείων από διάφορες παραβιάσεις πίσω στην ηλεκτρονική ζωή του Korinets, συμπεριλαμβανομένων λογαριασμών στα μέσα κοινωνικής δικτύωσης και προσωπικών ιστότοπων.

Ο Μπίλι Λέοναρντ, μηχανικός ασφαλείας στην ομάδα ανάλυσης απειλών της Google που ερευνά τις επιθέσεις hacking από κράτη, δήλωσε ότι ο Korinets ήταν εμπλεκόμενος. “Η Google έχει συνδέσει αυτό το άτομο με τη ρωσική ομάδα hacking Cold River και τις πρώτες επιχειρήσεις της”, δήλωσε.

Ο Vincas Ciziunas, ερευνητής ασφαλείας στη Nisos, ο οποίος επίσης συνέδεσε τις διευθύνσεις ηλεκτρονικού ταχυδρομείου του Korinets με τη δραστηριότητα του Cold River, δήλωσε ότι ο εργαζόμενος στον τομέα της πληροφορικής φαινόταν να είναι “κεντρική φιγούρα” στην κοινότητα hacking της Syktyvkar, ιστορικά. Ο Ciziunas ανακάλυψε μια σειρά ρωσόφωνων διαδικτυακών φόρουμ, συμπεριλαμβανομένου ενός eZine, όπου ο Korinets είχε συζητήσει για επιθέσεις, και μοιράστηκε αυτές τις αναρτήσεις με το Reuters.

Ο Korinets επιβεβαίωσε ότι κατείχε τους σχετικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου σε συνέντευξή του στο Reuters, αλλά αρνήθηκε οποιαδήποτε σχέση με την Cold River. Είπε ότι η μόνη του εμπειρία με επιθέσεις ήταν πριν από χρόνια, όταν του επιβλήθηκε πρόστιμο από ρωσικό δικαστήριο για ένα σχετικό έγκλημα που διαπράχθηκε κατά τη διάρκεια μιας επιχειρηματικής διαμάχης με έναν πρώην πελάτη. Σύμφωνα με το Reuters οι διευθύνσεις ηλεκτρονικού ταχυδρομείου του Korinets καταχώρησαν πολυάριθμους ιστότοπους που χρησιμοποιήθηκαν σε εκστρατείες hacking της Cold River μεταξύ 2015 και 2020.

Δεν είναι σαφές αν ο Korinets έχει εμπλακεί σε επιχειρήσεις hacking από το 2020 και μετά. Δεν έδωσε καμία εξήγηση για τον λόγο που χρησιμοποιήθηκαν αυτές οι διευθύνσεις ηλεκτρονικού ταχυδρομείου και δεν απάντησε σε περαιτέρω τηλεφωνήματα και ερωτήσεις μέσω ηλεκτρονικού ταχυδρομείου.

Ακολουθήστε το News247.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις

Ροή Ειδήσεων

Περισσότερα