Руски хакери са атакували три ядрени лаборатории в САЩ

Руски хакерски екип, известен като Cold River, е атакувал три лаборатории за ядрени изследвания в Съединените щати миналото лято, показват интернет записи, прегледани от Reuters и петима експерти по киберсигурност.

Между август и септември, когато президентът Владимир Путин посочи, че Русия е готова да използва ядрени оръжия, за да защити своята територия, Cold River атакува националните лаборатории Brookhaven (BNL), Argonne (ANL) и Lawrence Livermore National Laboratories (LLNL), става ясно от интернет записи. От личи, че хакерите създават фалшиви страници за вход за всяка институция и изпращат имейли на ядрени учени в опит да ги накарат да разкрият своите пароли.

Reuters не успя да определи защо лабораториите са били набелязани или дали някакъв опит за проникване е бил успешен. Коментари от лабораториите и Министерството на енергетиката към момента няма.

Cold River задълбочи своята хакерска кампания срещу съюзниците на Киев след нахлуването в Украйна, посочват изследователи по киберсигурност и западни правителствени служители. Цифровият блиц срещу американските лаборатории съвпада с изпращането на експерти на ООН в контролирана от Русия украинска територия, за да инспектират най-голямата атомна електроцентрала в Европа – Запорожката – и да оценят риска от радиационна катастрофа на фона на масирания обстрел в близост.

Cold River, който за първи път се появи на радара на професионалистите от разузнаването, след като таргетира британското външно министерство през 2016 г., е участвал в десетки други хакерски нападения през последните години, става ясно от интервюта с девет фирми за киберсигурност.

Това е една от най-важните хакерски групи, за които никога не сте чували“, отбеляза Адам Майер, старши вицепрезидент по разузнаването в американската фирма за киберсигурност CrowdStrike. „Те пряко подкрепят информационните операции на Кремъл.“

Федералната служба за сигурност на Русия (ФСБ), вътрешната агенция за сигурност, която също провежда шпионски кампании за Москва, и руското посолство във Вашингтон не отговориха на искания за коментар по имейл, уточнява Reuters.

Западни служители обвиняват Москва в кибершпионаж, но тя отрича да извършва хакерски операции.

Същевременно петима експерти от индустрията на киберсигурността потвърдиха участието на Cold River в опитите за хакване на ядрени лаборатории. Анализите си те са извършили въз основа на конкретни цифрови отпечатъци, които водят към групата.

Институции като Агенцията за национална сигурност на САЩ (NSA) и Британския глобален комуникационен щаб (GCHQ), считана за еквивалент NSA, отказаха да коментират дейността на Cold River.

„Събиране на разузнавателни данни“

Има информация, че през май миналата година Cold River е проникнала в имейли, принадлежащи на бившия шеф на британското разузнаване MI6. Тази бе само една от няколкото операции „хакване и изтичане“ през 2022 г. от свързани с Русия хакери, при които поверителни комуникации бяха оповестени публично във Великобритания, Полша и Латвия, според експерти по киберсигурност и служители по сигурността в Източна Европа.

В друга скорошна шпионска операция, насочена срещу критици на Москва, Cold River регистрира имена на домейни, предназначени да имитират най-малко три европейски неправителствени организации, разследващи военни престъпления, информира френската фирма за киберсигурност SEKOIA.IO.

Свързаните с неправителствените организации опити за хакерство се случиха точно преди и след пускането на 18 октомври на доклад от независима анкетна комисия на ООН, който установи, че руските сили са отговорни за „по-голямата част“ от нарушенията на човешките права в първите седмици на войната в Украйна, която Русия нарече специална военна операция. Счита се, че групата таргетира НПО-та, за да помогне за събирането на руска разузнавателна информация, свързана с военни престъпления и международни съдебни процедури.

Схемата за хакване е сходна – хората се подмамват да въведат своите потребителски имена и пароли на фалшиви уебсайтове. По този начин престъпниците получат достъп до техните компютърни системи, обясняват изследователи по сигурността пред Reuters. За да направи това, Cold River използва различни имейл акаунти, така че да наподобят легитимни услуги на гиганти като Google и Microsoft.