Эксперты смогли отследить местонахождение одного из членов одного из хакерской группировки. Как оказалось, он проживает в российском Сыктывкаре.
Летом 2022 года хакерская группа "Cold River" совершала атаку на три ядерные исследовательские лаборатории США. Об этом пишет Reuters.
Сообщается, что в период с августа по сентябрь группировка "Cold River" атаковала Брукхейвенскую (BNL), Аргоннскую (ANL) и Ливерморскую национальные лаборатории имени Лоуренса (LLNL). Так, хакеры создавали фальшивые страницы для каждого учреждения и отправляли ученым электронные письма, чтобы заставить их выдать важные пароли.
Издание сообщает, что пока неясно, были ли атаки успешными. По словам исследователей кибербезопасности и западных правительственных чиновников, "Cold River" активизировала свою хакерскую кампанию против союзников Киева после вторжения РФ в Украину. Атака началась, когда эксперты МАГАТЭ отправились на Запоожскую АЭС, которая сейчас находится в оккупации.
Журналисты пишут, что группировка "Cold River" впервые попала в поле зрения специалистов по разведке после атаки на министерство иностранных дел Великобритании в 2016 году.
По словам стершего вице-президента по разведке американской компании CrowdStrike, эта хакерская группа участвует в прямой поддержке информационных операций Кремля
В материале сказано, что по мнению многих чиновников Запада, российское правительство является мировым лидером в области хакерских атак и использует кибершпионаж, чтобы следить за иностранными правительствами. Таким образом Москва хочет заполучить конкурентное преимущество.
Издание пишет, что пять экспертов в области кибербезопасности, с которыми общались журналисты, подтвердили причастность группировки "Cold River" к попыткам взлома ядерных лабораторий.
Связи группировки с Россией
Сообщается, что в последние годы "Cold River" допустила несколько ошибок, которые позволили аналитикам по кибербезопасности установить точное местонахождение и личность одного из ее членов. Это дает наиболее четкое указание на российское происхождение группы.
Журналисты пишут, что несколько личных адресов электронной почты, использованных для атак "Cold River", принадлежат Андрею Коринцу, 35-летнему IТ-специалисту и культуристу из Сыктывкара.
Билли Леонард, инженер по безопасности из группы анализа угроз Google, сказал, что Коринец точно связан с атаками группировки "Cold River".
Винцас Чизиунас, исследователь безопасности в Nisos, который также связал адреса электронной почты Коринца с деятельностью "Cold River", обнаружил ряд русскоязычных интернет-форумов, где Коринец обсуждал хакерские атаки.
Журналисты побеседовали с Коринцем. Тот подтвердил, что учетные записи ему принадлежат, но признавать причастность к "Cold River" отказался. Он сказал, что за единственный опыт хакерства его оштрафовал российский суд.
Правда, как сообщается, журналисты смогли сами подтвердить связи Коринца с Cold River, используя данные, собранные с помощью платформ исследования кибербезопасности Constella Intelligence и DomainTools, которые помогают идентифицировать владельцев веб-сайтов. Как оказалось, адреса электронной почты Коринца зарегистрированы на многочисленных веб-сайтах, которые использовались в хакерских кампаниях "Cold River" в период с 2015 по 2020 год. Неясно, участвовал ли Коринец в хакерских операциях с 2020 года.
Ранее Фокус писал, что хакеры взломали топ-больницу Беларуси и слили ПЦР-тесты Лукашенко и его сына. Так, Александр и Николай Лукашенко получали справки накануне встреч с Владимиром Путиным. Время выдачи говорит о том, что их выписывали без проведения анализов.
Также сообщалось, что россияне заявили о рекордном количестве утечек данных. С начала вторжения ВС РФ в Украину хакеры обнародовали в полтора раза больше данных, чем за три прошлых года вместе взятых.