Reuters: российские хакеры атаковали три ядерные исследовательские лаборатории США
Брукхейвенская ядерная исследовательская лаборатория. Фото: bnl.gov
Российская хакерская группа, известная как Cold River, прошлым летом атаковала три ядерные исследовательские лаборатории США: Брукхейвенскую (BNL), Аргоннскую (ANL) и Ливерморскую, сообщает Reuters. Хакеры пытались выкрасть логины и пароли сотрудников, но неизвестно, получилось ли у них это.
По словам исследователей кибербезопасности и западных правительственных чиновников, Cold River активизировала свою хакерскую кампанию против союзников Киева после вторжения в Украину. Последняя массированная атака на американские лаборатории пришлась на период, когда эксперты ООН прибыли на оккупированную Запорожскую АЭС.
«Это одна из самых важных хакерских групп. Они участвуют в прямой поддержке информационных операций Кремля», — заявил старший вице-президент по разведке американской компании по кибербезопасности CrowdStrike Адам Мейерс.
Атаки Cold River
В мае 2022 года Cold River взломала и слила в открытый доступ электронные письма, принадлежащие бывшему главе британской разведывательной службы МИ-6. По словам экспертов по кибербезопасности, это была лишь одна из нескольких операций, проведенных в прошлом году хакерами, связанными с Россией, в ходе которых конфиденциальные сообщения были обнародованы в Великобритании, Польше и Латвии.
По данным французской фирмы по кибербезопасности SEKOIA.IO, в рамках другой недавней шпионской операции, направленной против критиков Москвы, Cold River зарегистрировала доменные имена, имитирующие как минимум три европейские неправительственные организации (НПО), расследующие военные преступления. Почему именно НПО стали целями атак, журналисты не смогли выяснить.
«Cold River обманом заставляла людей вводить имена пользователей и свои пароли на поддельных веб-сайтах, чтобы получить доступ к компьютерным системам. Для этого Cold River использовала различные учетные записи электронной почты для регистрации доменных имен, таких как “goo-link.online” и “online365-office.com”, которые на первый взгляд похожи на реальные сервисы, принадлежащие Google и Microsoft», — рассказали исследователи кибербезопасности.
Связи с Россией
Агентство Reuters пишет, что в последние годы Cold River допустила несколько ошибок, которые позволили аналитикам по кибербезопасности установить точное местонахождение и личность одного из ее членов, что подтверждает российское происхождение группы.
Несколько личных адресов электронной почты, использованных для создания Cold River, принадлежат Андрею Коринцу — 35-летнему IТ-специалисту и культуристу из Сыктывкара. «Использование этих учетных записей оставило след цифровых доказательств от различных взломов до онлайн-жизни Коринца, включая учетные записи в социальных сетях и личные веб-сайты», — уточняют журналисты.
Винцас Чизиунас, исследователь безопасности компании Nisos, заявил, что Коринца был центральной фигурой в сыктывкарском хакерском сообществе. Эксперт обнаружил ряд русскоязычных интернет-форумов, где россиянин обсуждал хакерские атаки.
Коринец подтвердил Reuters, что ему принадлежат соответствующие учетные записи электронной почты, но сказал, что не имеет отношения к Cold River. Он отметил, что только раз в жизни совершил хакерскую атаку, за которую был оштрафован в России.
Елена Петрова
