Fоtо: Sputnik/Scanpix/LETA
Агентство Рейтер установило, что хакеры, которых эксперты по кибербезопасности связывают с Россией, пытались атаковать американские ядерные лаборатории. Группировка Cold River, поддерживающая информационные операции Кремля, связана с жителем Сыктывкара Андреем Коринцом, считают эксперты.

Как утверждают журналисты, в августе-сентябре прошлого года хакеры из группировки Cold River попытались проникнуть во внутренние сети национальной лаборатории Брукхейвен в штате Нью-Йорк, Аргоннской национальной лаборатории в Чикаго и Ливерморской национальной лаборатории в Калифорнии. Все три лаборатории управляются министерством энергетики США.

В агентстве Рейтер установили, что связанные с хакерской группой люди пытались получить пароли от внутренних сетей учреждений, создавая фальшивые логин-экраны и отправляя электронные письма их сотрудникам. С какой целью они хотели взломать лаборатории, журналистам неизвестно. В министерстве энергетики США и российском посольстве в Вашингтоне не ответили на вопросы агентства.

Связь этих попыток атаки с группировкой Cold River подтверждают пять экспертов из индустрии кибербезопасности — хакеры оставили цифровые следы, которые ранее были связаны с Cold River.

Американское Агентство национальной безопасности и британский Центр правительственных коммуникаций не стали комментировать активность Cold River.

Что это за группировка

Активность Cold River значительно возросла с началом полномасштабного российского вторжения в Украину, отмечают опрошенные агентством эксперты по кибербезопасности. Первые кибератаки против американских лабораторий начались вскоре после прибытия миссии Агентства ООН по атомной энергетики (МАГАТЭ) на захваченную российскими войсками Запорожскую АЭС.

Целью миссии было обеспечить безопасность и по возможности установить демилитаризованную зону вокруг станции.

Cold River попала в поле зрения западных экспертов после атаки систем британского министерства иностранных дел в 2016 году и с тех пор, по мнению экспертов, участвовала в нескольких десятках информационных операций.

В мае Cold River опубликовала электронные письма бывшего главы британской разведслужбы МИ-6, а в июле атаковала сайты правительства Литвы вскоре после того, как ее власти заблокировали транспортировку грузов, следующих в Россию из Калининградской области через литовскую территорию. Тогда в телеграм-канале одной из известных российских хакерских групп появился призыв атаковать литовские госучреждения — вместе со списком целей. С начала войны хакеры атаковали государственные сайты и внутренние системы разведслужб Польши, Румынии, Молдовы и Болгарии.

Также Cold River связывают по меньшей мере с тремя фейковыми вебсайтами, имитирующими сайты НКО, которые расследуют военные преступления в Украине, говорят во французской компании SEKOIA.IO. Кибератаки начались вскоре после публикации в октябре выводов независимой комиссии ООН о том, что российские военные несут ответственность за подавляющее большинство военных преступлений в Украине.

В SEKOIA.IO считают, что целью этих попыток взлома был сбор Россией информации о свидетельствах военных преступлений.

"Это одна из самых значительных группировок хакеров, о которых мы слышали, — сказал в беседе с агентством старший вице-президент американской компании CrowdStrike Адам Мейер. — Они причастны к прямой поддержке информационных операций Кремля".

Cold River часто применяет метод фишинга, обманом выманивая у людей их логины и пароли с помощью фальшивых сайтов, говорят опрошенные Рейтер эксперты. В частности, хакеры применяют специально созданные аккаунты электронной почты, чтобы регистрировать сайты типа "goo-link.online" или "online365-office.com", адреса которых на первый взгляд похожи на адреса крупных компаний (в данном случае — Google и Microsoft).

Ошибка хакеров

За последние годы хакеры из Cold River совершили ряд ошибок, которые позволили экспертам по кибербезопасности по крайней мере частично их отследить и подтвердить их связь с Россией, говорят эксперты из компаний Google, BAE и Nisos.

Несколько связанных с сайтами электронных адресов, как оказалось, принадлежат 35-летнему жителю Сыктывкара Андрею Коринцу, известному в ИТ-среде города.

Билли Леонард, эксперт по государственным хакерским операциям из Google, считает, что Коринец связан с операциями Cold River. "Google идентифицировала этого человека как связанного с группой Cold River и их ранними операциями", — говорит он.

Директор по безопасности компании Nisos Винцас Чажунас тоже связывает Коринца с Cold River и называет его "центральной фигурой" в хакерском сообществе Сыктывкара. Зарегистрированные на его имя электронные адреса связали с созданными Cold River сайтами и сами журналисты, с помощью инструментов Constella Intelligence и DomainTools.

Сам Коринец ответил на вопросы агентства. Он сказал, что его единственный хакерский опыт имел место несколько лет назад, когда российский суд назначил ему штраф за кибератаку.

"Имел ли Коринец отношение к операциям Cold River после 2020 года, непонятно. Он не стал объяснять, как связаны с операциями хакеров его электронные адреса, и перестал отвечать на звонки и письма", — пишет агентство.

Читайте нас там, где удобно: Facebook Telegram Instagram !