Një ekip rus hakerash i njohur si Cold River shënjestroi tre laboratorë kërkimor bërthamor në Shtetet e Bashkuara verën e kaluar, sipas të dhënave të internetit të shqyrtuara nga Reuters dhe pesë ekspertë të sigurisë kibernetike.
Midis gushtit dhe shtatorit, ndërsa Presidenti Vladimir Putin tregoi se Rusia do të ishte e gatshme të përdorte armë bërthamore për të mbrojtur territorin e saj, Cold River shënjestroi Laboratorët Kombëtarë Brookhaven (BNL), Argonne (ANL) dhe Laërence Livermore (LLNL), gjë që u krijoi hakerave mundësinë të krijonin faqe të rreme hyrjeje për çdo institucion dhe t’u dërgonin email shkencëtarëeve në një përpjekje për t’i bërë ata të zbulonin fjalëkalimet e tyre.
Reuters nuk ishte në gjendje të përcaktonte pse laboratorët ishin në shënjestër ose nëse ndonjë përpjekje për ndërhyrje ishte e suksesshme. Një zëdhënës i BNL nuk pranoi të komentojë. LlNLk iu përgjigj një kërkese për koment. Një zëdhënës i ANL i referoi pyetje Departamentit të Energjisë të SHBA, i cili nuk pranoi të komentojë.
Cold River ka përshkallëzuar fushatën e saj të hakimeve kundër aleatëve të Kievit që nga pushtimi i Ukrainës, sipas studiuesve të sigurisë kibernetike dhe zyrtarëve të qeverisë perëndimore. Sulmi digjital kundër laboratorëve amerikanë ndodhi kur ekspertët e OKB-së hynë në territorin ukrainas të kontrolluar nga Rusia për të inspektuar termocentralin më të madh atomik të Evropës (Zaporizhzhia) dhe për të vlerësuar rrezikun e asaj që të dyja palët thanë se mund të ishte një katastrofë shkatërruese rrezatimi mes bombardimeve të rënda aty pranë.
Cold River, që u shfaq për herë të parë në radarin e profesionistëve të inteligjencës pasi shënjestroi zyrën e jashtme të Britanisë në vitin 2016, është përfshirë në dhjetëra incidente të tjera të profilit të lartë hakerimi në vitet e fundit, sipas intervistave me nëntë firma të sigurisë kibernetike. Reuters gjurmoi llogaritë e postës elektronike të përdorura në operacionet e saj të hakerimit midis 2015 dhe 2020 tek një punonjës i IT në qytetin rus të Syktyvkar.
“Ky është një nga grupet më të rëndësishme të hakerëve për të cilët nuk keni dëgjuar kurrë”, tha Adam Meyers, nënkryetar i lartë i inteligjencës në firmën amerikane të sigurisë kibernetike CrowdStrike.
“Ata janë të përfshirë në mbështetjen e drejtpërdrejtë të operacioneve të informacionit të Kremlinit”, shtoi ai.
Shërbimi Federal i Sigurisë i Rusisë (FSB), agjencia e sigurisë vendase që gjithashtu kryen fushata spiunazhi për Moskën, dhe ambasada ruse në Uashington nuk iu përgjigjën kërkesave të dërguara me email për koment.
Zyrtarët perëndimorë thonë se qeveria ruse është një lider global në sulmet online dhe përdor spiunazhin kibernetik për të spiunuar qeveritë dhe industritë e huaja për të kërkuar një avantazh konkurrues. Megjithatë, Moska e ka mohuar vazhdimisht se kryen operacione hakerimi.
Reuters ua tregoi gjetjet e tij pesë ekspertëve të industrisë, të cilët konfirmuan përfshirjen e Cold River në tentativat për hakimet e laboratorëve bërthamorë, bazuar në gjurmët e gishtërinjve dixhitalë të përbashkët që studiuesit historikisht i kanë lidhur me grupin.
Agjencia e Sigurisë Kombëtare e SHBA (NSA) nuk pranoi të komentojë mbi aktivitetet e Cold River. Selia e Komunikimeve Globale e Britanisë (GCHQ), ekuivalenti i saj NSA, nuk komentoi. Zyra e Jashtme nuk pranoi të komentojë.
Mbledhja e informacioneve
Në maj, Cold River depërtoi dhe zbuloi emailet që i përkisnin ish-shefit të shërbimit të spiunazhit MI6 të Britanisë. Ky ishte vetëm një nga disa operacione ‘hack and leak’ vitin e kaluar nga hakerë të lidhur me Rusinë, në të cilat komunikimet konfidenciale u bënë publike në Britani, Poloni dhe Letoni, sipas ekspertëve të sigurisë kibernetike dhe zyrtarëve të sigurisë së Evropës Lindore.
Në një tjetër operacion të fundit spiunazhi që synon kritikët e Moskës, Cold River regjistroi emra domenesh të krijuar për të imituar të paktën tre OJQ evropiane që hetojnë krimet e luftës, sipas firmës franceze të sigurisë kibernetike SEKOIA.IO.
Përpjekjet për hakerim të lidhura me OJQ-të ndodhën pak para dhe pas publikimit më 18 tetor të një raporti nga një komision i pavarur hetimor i OKB-së që zbuloi se forcat ruse ishin përgjegjëse për “shumicën dërrmuese” të shkeljeve të të drejtave të njeriut në javët e para të luftës në Ukrainë, të cilën Rusia e ka quajtur një operacion ushtarak special.
Në një postim në blog, SEKOIA.IO tha se, bazuar në shënjestrimin e OJQ-ve, Cold River po kërkonte të kontribuonte në “mbledhjen e inteligjencës ruse në lidhje me provat e identifikuara të lidhura me krimet e luftës dhe/ose procedurat ndërkombëtare të drejtësisë”.
Komisioni për Drejtësi Ndërkombëtare dhe Përgjegjësi (CIJA), një organizatë jofitimprurëse e themeluar nga një hetues veteran i krimeve të luftës, tha se ishte shënjestruar vazhdimisht nga hakerat e mbështetur nga Rusia në tetë vitet e fundit pa sukses.
Cold River ka përdorur taktika të tilla si mashtrimi i njerëzve për të futur emrat e përdoruesve dhe fjalëkalimet e tyre në faqet e internetit të rreme për të fituar akses në sistemet e tyre kompjuterike, thanë studiuesit e sigurisë për Reuters. Për ta bërë këtë, Cold River ka përdorur një sërë llogarish emaili për të regjistruar emra domenesh si “goo-link.online” dhe “online365-office.com” të cilat në një shikim duken të ngjashme me shërbimet legjitime të operuara nga firma si Google dhe Microsoft, thanë studiuesit e sigurisë.
Lidhje të forta me Rusinë
Cold River bëri disa gabime në vitet e fundit që lejuan analistët e sigurisë kibernetike të përcaktonin vendndodhjen dhe identitetin e saktë të një prej anëtarëve të tij, duke ofruar treguesin më të qartë ende të origjinës ruse të grupit, sipas ekspertëve nga gjigandi i internetit Google, kontraktori britanik i mbrojtjes BAE dhe Firma e inteligjencës amerikane Nisos.
Adresat e shumta personale të emailit të përdorura për të vendosur misionet e Lumit të Ftohtë i përkasin Andrey Korinets, një punonjës IT dhe bodybuilder 35-vjeçar në Syktyvkar, rreth 1,600 km në verilindje të Moskës. Përdorimi i këtyre llogarive la një gjurmë të provave dixhitale nga hakimet e ndryshme në jetën online të Korinets, duke përfshirë llogaritë e mediave sociale dhe faqet e internetit personale.
Billy Leonard, një Inxhinier Sigurie në Grupin e Analizës së Kërcënimeve të Google, i cili heton hakerimin e shtetit kombëtar, tha se Korinets ishte i përfshirë.
“Google e ka lidhur këtë individ me grupin rus të hakerëve Cold River dhe operacionet e tyre të hershme”, tha ai.
Vincas Ciziunas, një studiues sigurie në Nisos, i cili gjithashtu lidhi adresat e emailit të Korinets me aktivitetin e Cold River, tha se punonjësi i IT dukej të ishte një “figurë qendrore” në komunitetin e hakerëve të Syktyvkar, historikisht. Ciziunas zbuloi një seri forumesh interneti në gjuhën ruse, duke përfshirë një eZine, ku Korinets kishte diskutuar për hakerimin dhe i ndau ato postime me Reuters.
Korinets konfirmoi se ai zotëronte llogaritë përkatëse të emailit në një intervistë me Reuters, por ai mohoi çdo njohuri për Cold River. Ai tha se përvoja e tij e vetme me hakerimin erdhi vite më parë kur u gjobit nga një gjykatë ruse për një krim kompjuterik të kryer gjatë një mosmarrëveshjeje biznesi me një ish-klient.
Reuters ishte në gjendje të konfirmonte veçmas lidhjet e Korinets me Cold River duke përdorur të dhëna të përpiluara përmes platformave kërkimore të sigurisë kibernetike Constella Intelligence dhe DomainTools, të cilat ndihmojnë në identifikimin e pronarëve të faqeve të internetit: të dhënat treguan se adresat e emailit të Korinets regjistronin uebsajte të shumta të përdorura në fushatat e hakerëve të Cold River ndërmjet 2015 dhe 2020.
Është e paqartë nëse Korinets është përfshirë në operacione hakerimi që nga viti 2020. Ai nuk ofroi asnjë shpjegim se pse u përdorën këto adresa emaili dhe nuk iu përgjigj thirrjeve të mëtejshme telefonike dhe pyetjeve të dërguara me email. /albeu.com