 |
| На иллюстрации показан информационный бюллетень российского хакерского подполья. (Фото: yahoo.com) |
Прошлым летом российская хакерская группа, известная как Cold River, атаковала три ядерные исследовательские лаборатории в Соединенных Штатах, согласно интернет-записям, просмотренным Reuters и пятью экспертами по кибербезопасности.
В период с августа по сентябрь, когда президент Владимир Путин дал понять, что Россия будет готова использовать ядерное оружие для защиты своей территории, Cold River нацелился на Брукхейвенскую (BNL), Аргоннскую (ANL) и Ливерморскую национальные лаборатории имени Лоуренса (LLNL). показали хакеров, создающих фальшивые страницы входа для каждого учреждения и отправляющих электронные письма ученым-ядерщикам, чтобы заставить их раскрыть свои пароли.
Агентство Reuters не смогло определить, почему лаборатории были атакованы, и была ли попытка вторжения успешной. Представитель BNL отказался от комментариев. LLNL не ответила на запрос о комментарии. Представитель ANL направил вопросы в Министерство энергетики США, которое отказалось от комментариев.
По словам исследователей кибербезопасности и западных правительственных чиновников, Cold River активизировала свою хакерскую кампанию против союзников Киева после вторжения в Украину. Цифровой блиц против американских лабораторий произошел, когда эксперты ООН вошли на территорию Украины, контролируемую Россией, чтобы осмотреть крупнейшую в Европе атомную электростанцию и оценить риск того, что, по словам обеих сторон, может стать разрушительной радиационной катастрофой на фоне сильных обстрелов поблизости.
Согласно интервью, проведенным девятью фирмами, занимающимися кибербезопасностью, Cold River впервые попала в поле зрения специалистов по разведке после атаки на министерство иностранных дел Великобритании в 2016 году. Агентство Reuters отследило учетные записи электронной почты, использованные в его хакерских операциях в период с 2015 по 2020 год, до ИТ-специалиста в российском городе Сыктывкар.
«Это одна из самых важных хакерских групп, о которых вы никогда не слышали», — сказал Адам Мейерс, старший вице-президент по разведке американской компании по кибербезопасности CrowdStrike. «Они участвуют в прямой поддержке информационных операций Кремля».
Федеральная служба безопасности России (ФСБ), агентство внутренней безопасности, которое также проводит шпионские кампании в пользу Москвы, и посольство России в Вашингтоне не ответили на запросы о комментариях по электронной почте.
Западные чиновники заявляют, что российское правительство является мировым лидером в области хакерских атак и использует кибершпионаж, чтобы шпионить за иностранными правительствами и отраслями, чтобы получить конкурентное преимущество. Однако Москва последовательно отрицает, что проводит хакерские операции.
Агентство Reuters представило свои выводы пяти отраслевым экспертам, которые подтвердили причастность Cold River к попыткам взлома ядерных лабораторий на основе общих цифровых отпечатков пальцев, которые исследователи исторически связывали с группой.
Агентство национальной безопасности США (АНБ) отказалось комментировать деятельность Cold River. Штаб-квартира глобальных коммуникаций Великобритании (GCHQ), ее аналог АНБ, не прокомментировала ситуацию. Министерство иностранных дел отказалось от комментариев.
'СБОР ИНФОРМАЦИИ'
В мае Cold River взломал и слил электронные письма, принадлежащие бывшему главе британской разведывательной службы МИ-6. По словам экспертов по кибербезопасности и сотрудников службы безопасности Восточной Европы, это была лишь одна из нескольких операций «взлома и утечки», проведенных в прошлом году хакерами, связанными с Россией, в ходе которых конфиденциальные сообщения были обнародованы в Великобритании, Польше и Латвии.
По данным французской фирмы по кибербезопасности SEKOIA.IO, в рамках другой недавней шпионской операции, направленной против критиков Москвы, компания Cold River зарегистрировала доменные имена, имитирующие как минимум три европейские НПО, расследующие военные преступления.
Попытки взлома, связанные с НПО, имели место непосредственно перед и после опубликования 18 октября отчета независимой следственной комиссии ООН, в котором было установлено, что российские силы несут ответственность за «подавляющее большинство» нарушений прав человека в первые недели войны на Украине. которую Россия назвала специальной военной операцией.
В сообщении в блоге SEKOIA.IO говорится, что, основываясь на своем нацеливании на неправительственные организации, Cold River стремилась внести свой вклад в «сбор российской разведывательной информации о выявленных доказательствах, связанных с военными преступлениями, и / или международных судебных процедурах». Агентство Reuters не смогло независимо подтвердить, почему Cold River нацелилась на НПО.
Комиссия по международному правосудию и подотчетности (CIJA), некоммерческая организация, основанная опытным следователем по военным преступлениям, заявила, что за последние восемь лет она неоднократно безуспешно подвергалась атакам поддерживаемых Россией хакеров. Две другие НПО, Международный центр ненасильственных конфликтов и Центр гуманитарного диалога, не ответили на запросы о комментариях.
Посольство России в Вашингтоне не ответило на запрос с просьбой прокомментировать попытку взлома CIJA.
Как сообщили Reuters исследователи в области безопасности, Cold River использовала такую тактику, как обманом заставляя людей вводить свои имена пользователей и пароли на поддельных веб-сайтах, чтобы получить доступ к своим компьютерным системам. Для этого Cold River использовала различные учетные записи электронной почты для регистрации доменных имен, таких как «goo-link[.]online» и «online365-office[.]com», которые на первый взгляд похожи на законные службы, предоставляемые фирмами. как Google и Microsoft, говорят исследователи безопасности.
ГЛУБОКИЕ СВЯЗИ С РОССИЕЙ
В последние годы Cold River допустила несколько ошибок, которые позволили аналитикам по кибербезопасности определить точное местонахождение и личность одного из ее членов, предоставив наиболее четкое указание на российское происхождение группы, по мнению экспертов интернет-гиганта Google, британского оборонного ведомства. подрядчик BAE и американская разведывательная фирма Nisos.
Несколько личных адресов электронной почты, использованных для создания миссий Cold River, принадлежат Андрею Коринцу, 35-летнему айтишнику и культуристу из Сыктывкара, примерно в 1600 км к северо-востоку от Москвы. Использование этих учетных записей оставило след цифровых доказательств от различных взломов до онлайн-жизни Коринца, включая учетные записи в социальных сетях и личные веб-сайты.
Билли Леонард, инженер по безопасности из группы анализа угроз Google, который расследует хакерские атаки в национальных государствах, сказал, что Коринец был замешан. «Google связал этого человека с российской хакерской группой Cold River и их ранними операциями», — сказал он.
Винцас Чизиунас, исследователь безопасности в Nisos, который также связал адреса электронной почты Коринца с деятельностью Cold River, сказал, что ИТ-специалист исторически был «центральной фигурой» в сыктывкарском хакерском сообществе. Цизюнас обнаружил ряд русскоязычных интернет-форумов, в том числе электронный журнал, где Коринец обсуждал хакерские атаки, и поделился этими сообщениями с Reuters.
Коринец подтвердил, что ему принадлежат соответствующие учетные записи электронной почты в интервью Reuters, но отрицал какие-либо сведения о Cold River. Он сказал, что его единственный опыт хакерства появился много лет назад, когда он был оштрафован российским судом за компьютерное преступление, совершенное во время работы спор с бывшим клиентом.
Агентство Reuters смогло отдельно подтвердить связи Коринца с Cold River, используя данные, собранные с помощью платформ исследования кибербезопасности Constella Intelligence и DomainTools, которые помогают идентифицировать владельцев веб-сайтов: данные показали, что адреса электронной почты Коринца зарегистрированы на многочисленных веб-сайтах, используемых в хакерских кампаниях Cold River. в период с 2015 по 2020 год.
Неясно, участвовал ли Коринец в хакерских операциях с 2020 года. Он не объяснил, почему использовались эти адреса электронной почты, и не ответил на дальнейшие телефонные звонки и вопросы по электронной почте.
(Репортаж Джеймса Пирсона и Кристофера Бинга; дополнительный репортаж Полины Никольской, Марии Цветковой и Антона Зверева; и Зебы Сиддики в Сан-Франциско и Рафаэля Саттера в Вашингтоне; под редакцией Криса Сандерса и Дэниела Флинна)
No comments:
Post a Comment