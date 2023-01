Grupa rosyjskich hakerów, znana jako Cold River, między sierpniem a wrześniem ubiegłego roku wysyłała mejle do naukowców z instytutów badań jądrowych Brookhaven, Argonne i Lawrence Livermore National Laboratories. Usiłowali skłonić odbiorców do zalogowania się na sfałszowanych stronach internetowych. Hakerzy chcieli uzyskać w ten sposób hasła do wewnętrznej sieci tych trzech ośrodków badawczych. Tak wynika z zarejestrowanego ruchu danych w internecie, który został zbadany przez agencję Reutera i pięciu ekspertów ds. cyberbezpieczeństwa.

Ataki po inwazji

Reutersowi nie udało się ustalić, dlaczego zaatakowano te instytuty, ani czy próba włamania zakończyła się sukcesem. Według ekspertów ds. cyberbezpieczeństwa w internecie i przedstawicieli zachodnich rządów, grupa Cold River rozszerzyła ataki hakerskie po inwazji Rosji na Ukrainę.

Cold River po raz pierwszy zwróciła na siebie uwagę zachodnich agencji wywiadowczych w 2016 roku, po cyberataku na brytyjskie Ministerstwo Spraw Zagranicznych. Od tego czasu odnotowano dziesiątki innych ataków hakerskich, w których miała uczestniczyć ta grupa.

Eksperci badający zagadnienia cyberbezpieczeństwa powiedzieli agencji Reutera, że grupa Cold River używała różnych kont mailowych do rejestracji nazw domen, takich jak „goo-link.online” oraz „online365-office.com“. Na pierwszy rzut oka wyglądały jak usługi takich firm jak Google czy Microsoft.

Według francuskiej firmy ds. cyberbezpieczeństwa SEKOIA.IO, grupa Cold River ponadto naśladowała w ten sposób strony co najmniej trzech europejskich organizacji pozarządowych badających rosyjskie zbrodnie wojenne na Ukrainie. Nie wiadomo do końca, dlaczego hakerzy wzięli na cel organizacje pozarządowe.

Kulturysta w Syktywkarze

Kilka błędów popełnionych przez Cold River pozwoliło na ustalenie lokalizacji i tożsamości jednego z jej członków, jak twierdzą specjaliści z amerykańskiego koncernu Google, brytyjskiej firmy zbrojeniowej BAE oraz amerykańskiej firmy Nisos zajmującej się cyberbezpieczeństwem.

Z ich dochodzenia wynika, że kilka adresów mailowych wykorzystanych w atakach hakerskich należy do Andrieja Korinca, 35-letniego informatyka i kulturysty z Syktywkaru, stolicy republiki Komi położonej 1600 kilometrów na północny wschód od Moskwy.

„Googlowi udało się powiązać tę osobę z rosyjską grupą hakerską Cold River i ich wcześniejszymi atakami” – powiedział agencji Reutera ekspert z Threat Analysis Group, Billy Leonard.

Inny ekspert, Vincas Ciziunas z firmy Nisos, oświadczył, że Korinc wydaje się być główną postacią we wcześniejszych działaniach hakerskich grupy Cold River.

Reuters skontaktował się z Korincem, który potwierdził, że jest właścicielem tych adresów mailowych, ale zaprzeczył, że miał jakąkolwiek wiedzę o grupie Cold River i jej aktywności.

