U periodu između avgusta i septembra, dok je predsjednik Vladimir Putin nagoviještavao da će Rusija biti spremna da upotrijebi nuklearno oružje za odbranu svoje teritorije, Cold River je gađao Brookhaven (BNL), Argonne (ANL) i Lawrence Livermore National Laboratories (LLNL), prema internetskim zapisima koji pokazao je da hakeri kreiraju lažne stranice za prijavu za svaku instituciju i šalju e-poštu nuklearnim naučnicima u pokušaju da ih natjeraju da otkriju svoje lozinke.
Reuters nije mogao utvrditi zašto su laboratorije ciljane niti je li pokušaj upada bio uspješan. Portparol BNL-a je odbio da komentariše. LLNL nije odgovorio na zahtjev za komentar. Glasnogovornik ANL-a uputio je pitanja američkom Ministarstvu energetike, koje je odbilo komentirati.
Cold River je eskalirao svoju hakersku kampanju protiv saveznika Kijeva od invazije na Ukrajinu, tvrde istraživači cyber sigurnosti i zvaničnici zapadnih vlada. Digitalni napad protiv američkih laboratorija dogodio se kada su stručnjaci UN-a ušli na ukrajinsku teritoriju pod ruskom kontrolom kako bi pregledali najveću evropsku atomsku elektranu i procijenili rizik od, kako su obje strane rekle, razorne radijacijske katastrofe usred jakog granatiranja u blizini.
Cold River, koji se prvi put pojavio na radaru obavještajnih profesionalaca nakon što je ciljao britansku kancelariju vanjskih poslova 2016. godine, bio je umiješan u desetine drugih hakerskih incidenata visokog profila u posljednjih nekoliko godina, prema intervjuima s devet firmi za cyber sigurnost. Reuters je pronašao račune e-pošte korištene u hakerskim operacijama između 2015. i 2020. povezane sa ruskom gradu Siktivkaru.
"Ovo je jedna od najvažnijih hakerskih grupa za koju nikada niste čuli", rekao je Adam Meyers, viši potpredsjednik obavještajne službe u američkoj firmi za cyber sigurnost CrowdStrike. "Oni su uključeni u direktnu podršku informativnim operacijama Kremlja."
Ruska Federalna služba bezbjednosti (FSB), domaća sigurnosna agencija koja također provodi špijunske kampanje za Moskvu, i ruska ambasada u Washingtonu nisu odgovorili na zahtjeve za komentare poslane e-poštom.
Zapadni zvaničnici kažu da je ruska vlada globalni lider u hakiranju i da koristi cyber špijunažu da špijunira strane vlade i industrije kako bi tražila konkurentsku prednost. Međutim, Moskva je uporno poricala da sprovodi hakerske operacije.
Reuters je svoje nalaze pokazao petorici stručnjaka iz industrije koji su potvrdili umiješanost Cold Rivera u pokušaje hakovanja nuklearnih laboratorija, na osnovu zajedničkih digitalnih otisaka prstiju koje su istraživači povijesno povezivali s grupom.
Američka Agencija za nacionalnu sigurnost (NSA) odbila je komentirati aktivnosti Cold Rivera. Britanski štab za globalne komunikacije (GCHQ), njegov ekvivalent NSA, nije komentirao. Ministarstvo inostranih poslova odbilo je da komentariše.
'OBAVJEŠTAJNA KOLEKCIJA'
U maju, Cold River je provalio i procurio e mailove koji pripadaju bivšem šefu britanske špijunske službe MI6. To je bila samo jedna od nekoliko prošlogodišnjih operacija hakera povezanih s Rusijom u kojima je povjerljiva komunikacija objavljena u Britaniji, Poljskoj i Latviji, prema stručnjacima za cyber sigurnost i istočnoevropskim sigurnosnim dužnosnicima.
U još jednoj nedavnoj špijunažnoj operaciji usmjerenoj na kritičare Moskve, Cold River je registrirao nazive domena dizajnirane da imitiraju najmanje tri evropske nevladine organizacije koje istražuju ratne zločine, prema francuskoj firmi za cyber bezbjednost SEKOIA.IO.
Pokušaji hakovanja vezani za nevladine organizacije dogodili su se neposredno prije i nakon objavljivanja izvještaja nezavisne istražne komisije UN-a 18. oktobra koja je utvrdila da su ruske snage odgovorne za "ogromnu većinu" kršenja ljudskih prava u prvim sedmicama rata u Ukrajini, koju je Rusija nazvala specijalnom vojnom operacijom.
U postu na blogu, SEKOIA.IO je rekao da, na osnovu ciljanja nevladinih organizacija, Cold River želi doprinijeti "ruskom prikupljanju obavještajnih podataka o identifikovanim dokazima u vezi sa ratnim zločinima i/ili međunarodnim pravosudnim procedurama." Reuters nije mogao nezavisno potvrditi zašto je Cold River ciljao nevladine organizacije.
Komisija za međunarodnu pravdu i odgovornost (CIJA), neprofitna organizacija koju je osnovao istražitelj ratnih zločina veteran, saopćila je da je više puta bila na meti hakera koje podržava Rusija u proteklih osam godina bez uspjeha. Druge dvije nevladine organizacije, Međunarodni centar za nenasilni sukob i Centar za humanitarni dijalog, nisu odgovorile na zahtjeve za komentar.
Ruska ambasada u Washingtonu nije odgovorila na zahtjev za komentar o pokušaju hakovanja protiv CIJA.
Cold River je koristio taktike poput prevarivanja ljudi da unesu svoja korisnička imena i lozinke na lažne web stranice kako bi dobili pristup njihovim kompjuterskim sistemima, rekli su istraživači sigurnosti Reutersu. Da bi to uradio, Cold River je koristio različite naloge e-pošte za registraciju imena domena kao što su "goo-link.online" i "online365-office.com" koji na prvi pogled izgledaju slično legitimnim uslugama koje upravljaju firme kao što su Google i Microsoft , rekli su istraživači sigurnosti.
DUBOKE VEZE SA RUSIJOM
Cold River je napravio nekoliko pogrešnih koraka u posljednjih nekoliko godina koji su omogućili analitičarima cyber sigurnosti da odrede tačnu lokaciju i identitet jednog od njenih članova, pružajući do sada najjasniji pokazatelj ruskog porijekla grupe, prema stručnjacima internetskog giganta Google, britanskog odbrambenog izvođača BAE i Američke obavještajne firme Nisos.
Više ličnih adresa e-pošte korištenih za postavljanje misija Cold River pripada Andreju Korinjecu, 35-godišnjem IT radniku i bodibilderu u Siktivkaru, oko 1.600 km sjeveroistočno od Moskve. Korištenje ovih naloga ostavilo je trag digitalnih dokaza iz različitih hakova u Korinetsovom online životu, uključujući račune društvenih medija i lične web stranice.
Billy Leonard, sigurnosni inženjer u Google-ovoj grupi za analizu prijetnji koji istražuje hakovanje nacionalne države, rekao je da je Korinets umiješan. "Google je ovu osobu povezao s ruskom hakerskom grupom Cold River i njihovim ranim operacijama", rekao je on.
Vincas Ciziunas, istraživač sigurnosti u Nisosu koji je takođe povezao Korinetsove adrese e-pošte sa aktivnostima Cold Rivera, rekao je da se činilo da je IT radnik "centralna figura" u hakerskoj zajednici Syktyvkar. Ciziunas je otkrio niz internet foruma na ruskom jeziku, uključujući eZine, gdje je Korinets razgovarao o hakiranju, i podijelio te postove s Reutersom.
Korinets je u intervjuu za Reuters potvrdio da posjeduje relevantne račune e-pošte, ali je negirao bilo kakvo saznanje o Cold Riveru. Rekao je da je njegovo jedino iskustvo sa hakiranjem stiglo prije mnogo godina kada je kažnjen od strane ruskog suda zbog kompjuterskog kriminala počinjenog tokom poslovnog spora s bivšim klijentom.
Reuters je mogao zasebno potvrditi Korinetsove veze sa Cold Riverom koristeći podatke prikupljene putem platformi za istraživanje cyber sigurnosti Constella Intelligence i DomainTools, koje pomažu u identifikaciji vlasnika web stranica.
Podaci su pokazali da su Korinetsove e-mail adrese registrovale brojne web stranice korištene u kampanjama hakovanja Cold Rivera između 2015. i 2020. godine.
Nejasno je da li je Korinets bio uključen u operacije hakovanja od 2020. On nije ponudio objašnjenje zašto su ove e-mail adrese korištene i nije odgovarao na dalje telefonske pozive i pitanja poslana e-poštom.
