Російське угруповання хакерів Cold River атакувало ядерні лабораторії США - Reuters
Автор фото, Getty Images
Агенція Reuters встановило, що хакери, яких експерти з кібербезпеки пов'язують із Росією, намагалися атакувати американські ядерні лабораторії.
Угруповання Cold River, яке підтримує інформаційні операції Кремля, пов'язане з жителем Сиктивкара Андрієм Коринцем, вважають експерти.
Як стверджують журналісти, у серпні-вересні минулого року хакери з угрупування Cold River спробували проникнути у внутрішні мережі національної лабораторії Брукхейвен у штаті Нью-Йорк, Аргонській національній лабораторії в Чикаго та Ліверморській національній лабораторії в Каліфорнії. Усі три лабораторії керуються міністерством енергетики США.
В агентстві Reuters встановили, що пов'язані з групою хакерів люди намагалися отримати паролі від внутрішніх мереж установ, створюючи фальшиві логін-екрани і відправляючи електронні листи їхнім співробітникам.
З якою метою вони хотіли зламати лабораторії, журналістам невідомо. У міністерстві енергетики США та російському посольстві у Вашингтоні не відповіли на запитання агентства.
Зв'язок цих спроб атаки з угрупованням Cold River підтверджують п'ять експертів з індустрії кібербезпеки - хакери залишили цифрові сліди, які раніше були пов'язані з Cold River.
Американське Агентство національної безпеки та британський Центр урядових комунікацій не коментували активність Cold River.
Що це за угруповання
Активність Cold River значно зросла з початком повномасштабного російського вторгнення в Україну, зазначають опитані агентством експерти з кібербезпеки.
Перші кібератаки проти американських лабораторій почалися невдовзі після прибуття місії Агентства ООН з атомної енергетики (МАГАТЕ) на захоплену російськими військами Запорізьку АЕС.
Метою місії було забезпечити безпеку та по можливості встановити демілітаризовану зону навколо станції.
Cold River потрапила в поле зору західних експертів після атаки систем британського міністерства закордонних справ у 2016 році і з того часу, на думку експертів, брала участь у кількох десятках інформаційних операцій.
У травні Cold River опублікувала електронні листи колишнього глави британської розвідслужби МІ-6, а в липні атакувала сайти уряду Литви незабаром після того, як її влада заблокувала транспортування вантажів, що прямують до Росії з Калінінградської області через литовську територію.
Тоді в телеграм-каналі однієї з відомих російських груп хакерів з'явився заклик атакувати литовські держустанови - разом зі списком цілей. З початку війни хакери атакували державні сайти та внутрішні системи розвідслужб Польщі, Румунії, Молдови та Болгарії.
Помилка хакерів
За останні роки хакери з Cold River зробили низку помилок, які дозволили експертам з кібербезпеки принаймні частково їх відстежити та підтвердити їхній зв'язок із Росією, кажуть експерти з компаній Google, BAE та Nisos.
Декілька пов'язаних із сайтами електронних адрес, як виявилося, належать 35-річному жителю Сиктивкара Андрію Коринцю, відомому в ІТ-середовищі міста.
Біллі Леонард, експерт з державних операцій хакерів з Google, вважає, що Коринець пов'язаний з операціями Cold River. "Google ідентифікувала цю людину як пов'язану з групою Cold River та їх ранніми операціями", - каже він.
Директор з безпеки компанії Nisos Вінцас Чажунас також пов'язує Коринця з Cold River і називає його "центральною фігурою" у спільноті Хакера Сиктивкара.
Зареєстровані на його ім'я електронні адреси пов'язали зі створеними сайтами Cold River і самі журналісти, за допомогою інструментів Constella Intelligence і DomainTools.
Сам Коринець відповів на запитання агенції. Він сказав, що його єдиний хакерський досвід мав місце кілька років тому, коли російський суд призначив штраф за кібератаку.
