Хакеры из российской группировки Cold River летом попытались проникнуть во внутренние сети трех ядерных исследовательских лабораторий в США, сообщил Reuters.
Речь идет о национальных лабораториях Брукхейвен в штате Нью-Йорк, Аргоннской национальной лаборатории в Чикаго и Ливерморской национальной лаборатории в Калифорнии. Все три лаборатории управляются министерством энергетики США.
Cold River совершила атаки в августе–сентябре 2022 года. Хакеры попытались получить пароли от внутренних сетей учреждений, создавая фальшивые логин-экраны и отправляя электронные письма их сотрудникам.
Связь Cold River с атаками агентству подтвердили пять экспертов из индустрии кибербезопасности — хакеры оставили цифровые следы, которые ранее были связаны с Cold River.
Агентство Reuters отследило учетные записи электронной почты, использованные в хакерских операциях группировки с 2015 по 2020 год. Они привели к IT-специалисту в Сыктывкаре Андрею Коринцу.
Эксперт по государственным хакерским операциям из Google Билли Леонард рассказал, что Google уже подтверждал связь Коринца с группой Cold River и их ранними операциями. Об этом же сказал директор по безопасности компании Nisos Винцас Чажунас. Он назвал Коринца «центральной фигурой» в хакерском сообществе Сыктывкара.
Сам Коринец в разговоре с Reuters отрицал свою связь с Cold River. По его словам, его единственный хакерский опыт имел место несколько лет назад. Тогда российский суд назначил ему штраф за кибератаку.
Зачем группировка пыталась взломать лаборатории неизвестно. По данным агентства, их первые кибератаки против американских лабораторий начались после прибытия миссии Агентства ООН по атомной энергетики (МАГАТЭ) на оккупированную Россией Запорожскую АЭС.
Cold River уже не первый раз атакует западные организации. Она впервые попала в поле зрения разведки, когда совершила кибератку на министерство иностранных дел Великобритании в 2016 году. С тех пор группировка участвовала в десятках информационных операций.
Активность Cold River сильно выросла после полномасштабного вторжения российской армии в Украину. В мае она опубликовала электронные письма бывшего главы британской разведслужбы МИ-6. А уже в июле группировка взломала сайты правительства Литвы. Это произошло после того, как власти республики заблокировали транспортировку грузов, следующих в Россию из Калининградской области.
«Это одна из самых важных хакерских групп, о которых вы никогда не слышали», — сказал агентству Адам Мейерс, старший вице-президент по разведке американской компании по кибербезопасности CrowdStrike. По его словам, Cold River участвует в прямой поддержке информационных операций Кремля.