Πώς κατάφεραν Ρώσοι χάκερς να μπουν μέσα στα αμερικανικά πυρηνικά εργαστήρια

Μια ρωσική ομάδα χάκερς, γνωστή ως «Cold River» («Κρύος Ποταμός») έβαλε στο στόχο της τρία πυρηνικά ερευνητικά εργαστήρια στις ΗΠΑ το περασμένο καλοκαίρι, σύμφωνα με διαδικτυακά αρχεία που ελέγχθηκαν από το Reuters και πέντε ειδικούς στην κυβερνοασφάλεια.

Μεταξύ Αυγούστου και Σεπτεμβρίου και ενώ ο Ρώσος πρόεδρος Βλαντίμιρ Πούτιν είχε δηλώσει ότι η Ρωσία προτίθεται να χρησιμοποιήσει πυρηνικά όπλα, προκειμένου να υπερασπιστεί το έδαφός της, η «Cold River» επιτέθηκε στα Εθνικά Εργαστήρια Μπρουκχέβεν (Brookhaven National Laboratory – BNL), Αργκόν (Argonne – ANL) και Λόρενς Λίβερμορ (Lawrence Livermore – LLNL). Ιντερνετικά αρχεία δείχνουν ότι οι χάκερς δημιούργησαν ψεύτικες σελίδες σύνδεσης (fake login pages) για κάθε ίδρυμα και έστειλαν email σε πυρηνικούς επιστήμονες, σε μια απόπειρα να υποκλέψουν τους κωδικούς πρόσβασής τους.

Σύμφωνα με το Reuters, δεν είναι ξεκάθαρο γιατί στοχοποιήθηκαν τα συγκεκριμένα εργαστήρια ή εάν αυτή η απόπειρα εισβολής ήταν επιτυχημένη. Εκπρόσωπος του BNL αρνήθηκε να σχολιάσει, εκπρόσωπος του LLNL δεν απάντησε στο αίτημα του Reuters για σχόλιο, ενώ εκπρόσωπος του ANL παρέπεμψε το Reuters στο αμερικανικό υπουργείο Ενέργειας, το οποίο επίσης αρνήθηκε να απαντήσει.

Η «Cold River» έχει κλιμακώσει την εκστρατεία κυβερνοεπιθέσεων εναντίον των συμμάχων του Κιέβου από την έναρξη της εισβολής στην Ουκρανία, σύμφωνα με ερευνητές κυβερνοασφάλειας και αξιωματούχους κυβερνήσεων της Δύσης. Η ψηφιακή επίθεση κατά των αμερικανικών εργαστηρίων συνέβη την ώρα που αξιωματούχοι του ΟΗΕ εισήλθαν στα ελεγχόμενη από τους Ρώσους ουκρανικά εδάφη για να επιθεωρήσουν το μεγαλύτερο εργοστάσιο ατομικής ενέργειας στην Ευρώπη (Ζαπορίζια) και να αξιολογήσουν τον κίνδυνο, όπως ανέφεραν και οι δύο πλευρές, μιας ολοκληρωτικής καταστροφής από ραδιενέργεια εν μέσω σφοδρών βομβαρδισμών στην περιοχή.

Οι χάκερς της «Cold River» εμφανίστηκαν για πρώτη φορά στα ραντάρ των υπηρεσιών πληροφοριών, αφότου έβαλαν στο στόχαστρο το βρετανικό υπουργείο Εξωτερικών το 2016 και έκτοτε ενεπλάκησαν σε δεκάδες άλλα περιστατικά κυβερνοεπιθέσεων τα τελευταία χρόνια, σύμφωνα με εννέα εταιρείες κυβερνοασφάλειας. Το Reuters εντόπισε λογαριασμούς email σε «επιχειρήσεις χάκερ» από το 2015 έως το 2020, που ανήκαν σε έναν εργαζόμενο στον τομέα της πληροφορικής στη ρωσική πόλη Σικτιβκάρ.

«Αυτή είναι μία από τις πιο σημαντικές ομάδες χάκερες, για τις οποίες δεν έχετε ακούσει ποτέ», δήλωσε ο αντιπρόεδρος πληροφοριών της αμερικανικής εταιρείας κυβερνοασφάλειας CrowdStrike, Άνταμ Μέγερ. «Συμμετέχουν στην άμεση υποστήριξη των μυστικών επιχειρήσεων του Κρεμλίνου», επισήμανε.

Τόσο η Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB), που πραγματοποιεί επιχειρήσεις κατασκοπείας για τη Μόσχα, όσο και η ρωσική πρεσβεία στην Ουάσινγκτον, δεν απάντησαν σε αιτήματα που εστάλησαν μέσω email για σχολιασμό.

Δυτικοί αξιωματούχοι υποστηρίζουν ότι η ρωσική κυβέρνηση είναι παγκόσμιος ηγέτης στις κυβερνοεπιθέσεις και χρησιμοποιεί την κυβερνοκατασκοπεία για να κατασκοπεύει ξένες κυβερνήσεις και βιομηχανίες, προκειμένου να διατηρεί το πλεονέκτημα απέναντί τους. Πάντως, η Μόσχα επανειλημμένα έχει αρνηθεί αυτές τις κατηγορίες.

Το Reuters έδειξε τα αποτελέσματα της έρευνάς του σε πέντε εμπειρογνώμονες του κλάδου που επιβεβαίωσαν τη συμμετοχή της «Cold River» στις απόπειρες χάκινγκ στα πυρηνικά εργαστήρια, με βάση τα κοινά ψηφιακά αποτυπώματα που οι ερευνητές έχουν συνδέσει ιστορικά με τη συγκεκριμένη ομάδα.

Σημειώνεται ότι τον περασμένο Μάιο η «Cold River» είχε υποκλέψει και διαρρεύσει email που ανήκαν στον πρώην επικεφαλής της βρετανικής υπηρεσίας πληροφοριών MI-6. Μια από τις πολλές επιχειρήσεις “hack and leak” που πραγματοποιήθηκαν το 2022 από χάκερς που συνδέονται με τη Ρωσία, όπου απόρρητες επικοινωνίες δημοσιοποιήθηκαν στη Βρετανία, την Πολωνία και τη Λετονία, σύμφωνα με ειδικούς στην κυβερνοασφάλεια και αξιωματούχους ανατολικοευρωπαϊκών υπηρεσιών ασφαλείας.

Σε μια άλλη πρόσφατη επιχείρηση κατασκοπείας που στόχευε επικριτές της Μόσχας, η «Cold River» κατοχύρωσε τρία ονόματα domain που παρέπεμπαν σε τρεις ευρωπαϊκές ΜΚΟ που ερευνούν εγκλήματα πολέμου, σύμφωνα με τη γαλλική εταιρεία κυβερνοασφάλειας SEKOIA. Οι απόπειρες χάκινγκ που σχετίζονταν με τις συγκεκριμένες ΜΚΟ σημειώθηκαν λίγο πριν και μετά την παρουσίαση στις 18 Οκτωβρίου 2022 μιας έκθεσης επιτροπής του ΟΗΕ που διαπίστωσε ότι οι ρωσικές δυνάμεις ήταν υπεύθυνες για τη «συντριπτική πλειοψηφία» των παραβιάσεων των ανθρωπίνων δικαιωμάτων στις πρώτες εβδομάδες του πολέμου στην Ουκρανία, της «ειδικής στρατιωτικής επιχείρησης», όπως την αποκαλεί το Κρεμλίνο.

Σύμφωνα με τη SEKOIA, οι Ρώσοι χάκερς της «Cold River» προσπάθησαν να συνεισφέρουν στη «συλλογή ρωσικών πληροφοριών σχετικά με αναγνωρισμένα αποδεικτικά στοιχεία που σχετίζονται με εγκλήματα πολέμου και ή διαδικασίες διεθνούς δικαιοσύνης».

Η Επιτροπή Διεθνούς Δικαιοσύνης και Λογοδοσίας (CIJA), ένας μη κερδοσκοποικός οργανισμός, που ιδρύθηκε από έναν βετεράνο ερευνητή εγκλημάτων πολέμου, ανακοίνωσε ότι έχει στοχοποιηθεί επανειλημμένα από χάκερς που υποστηρίζονται από τη Ρωσία τα τελευταία οκτώ χρόνια, δίχως επιτυχία.

Η «Cold River» έχει χρησιμοποιήσει τακτικές όπως το να εξαπατήσει τους ανθρώπους να εισάγουν τα ονόματα χρήστη και τους κωδικούς πρόσβασής τους σε ψεύτικους ιστότοπους, προκειμένου να αποκτήσουν πρόσβαση στα ηλεκτρονικά τους συστήματα, σύμφωνα με ερευνητές ασφαλείας. Για να το κάνει αυτό, έχει χρησιμοποιήσει μια ποικιλία λογαριασμών email, προκειμένου να καταχωρίσει ονόματα domain όπως goo-link.online και online265-office.com, τα οποία εκ πρώτης όψεως μοιάζουν με νόμιμες υπηρεσίες που διαχειρίζονται εταιρείες όπως η Google και η Microsoft.