Cold River, das sind die russischen Hacker, die an der US-Atomkraft interessiert sind

Cold River, das sind die russischen Hacker, die an der US-Atomkraft interessiert sind

Eine Gruppe russischer Cyberkrimineller namens Cold River hat versucht, drei Nuklearforschungslabore in den Vereinigten Staaten zu hacken. Alle Details

Es ist eine exklusive Information von Reuters um zu enthüllen, wie im vergangenen Sommer, gerade als Wladimir Putin die Atomwaffe schwang und mit ihrem Einsatz drohte, drei US-amerikanische Nuklearforschungslabore Opfer eines versuchten Computereinbruchs einer russischen Hackergruppe namens Cold River wurden.

Der Angriff

Zwischen August und September 2022 zielte Cold River auf Labors in Brookhaven, Argonne und Lawrence Livermore. Die Gruppe hätte in diesem Fall gefälschte Login-Seiten erstellt und E-Mails an Nuklearwissenschaftler geschickt, um ihre Passwörter zu stehlen.

Ob die Operation erfolgreich war, ist nicht bekannt. Von Reuters kontaktiert, flüchteten sich die drei Labors in Schweigen. Auch das US-Energieministerium und die NSA schweigen.

Was stattdessen herauskam, sind die Computer-Fingerabdrücke der Angreifer: Reuters zeigte sie fünf Cybersicherheitsexperten, die sie eindeutig zu Cold River zurückverfolgten.

Vorherige

Davon ist Adam Meyers, Vice President of Intelligence des Cybersicherheitsunternehmens CrowdStrike, überzeugt: Cold River sei „eine der wichtigsten Hackergruppen, von denen wir gehört haben“ und sei „an der direkten Unterstützung der Informationsoperationen des Kreml beteiligt“.

Die Gruppe geriet erstmals 2016 auf das Radar von Geheimdienstexperten, nachdem sie einen Angriff auf das Auswärtige Amt in London verübt hatte. Seitdem war Cold River laut fünf von Reuters befragten Cybersicherheitsfirmen an Dutzenden weiterer hochkarätiger Cyberangriffe beteiligt.

Schlagzeilen machte insbesondere die im vergangenen Mai in Großbritannien durchgeführte, wo die Gruppe, wie Nbc damals berichtete, in den Besitz zahlreicher E-Mails gelangte, die von Persönlichkeiten des öffentlichen Lebens verfasst wurden, darunter der ehemalige Chef des Geheimdienstes MI6, Sir Richard Dearlove, und machte sie im vollen Wikileaks-Stil öffentlich.

Laut Reuters hat Cold River seit dem 24. Februar, dem ersten Tag der Invasion in der Ukraine, eine intensive Angriffskampagne gegen Ziele durchgeführt, die bis nach Kiew zurückverfolgt werden können.

Besonders hervorzuheben ist eine Operation gegen drei europäische NGOs, die sich mit von russischen Streitkräften begangenen Kriegsverbrechen befassen. Laut der französischen Cybersicherheitsfirma Sekoia versuchte Cold River, zur „russischen Geheimdienstsammlung im Zusammenhang mit Beweisen für identifizierte Kriegsverbrechen und/oder internationale Gerichtsverfahren“ beizutragen.

– Lesen Sie auch: Russisches Spionageschiff in der Adria, was los ist

Wer steckt hinter Cold River?

Unglücklicherweise haben Cold River-Hacker bei der Durchführung ihrer Operationen viele Spuren ihrer Aktivitäten hinterlassen, die es ermöglicht haben, die Identität eines ihrer Mitglieder zu ermitteln.

Konkret waren die für die Angriffe verwendeten E-Mail-Konten mit einem 35-jährigen Informatiker und Bodybuilder verknüpft, der in der russischen Stadt Syktyvkar lebt. Der fragliche Mann heißt Andrej Korinets und war laut Google-Sicherheitsingenieur Billy Leonard von Anfang an in die Aktivitäten von Cold River involviert.

Für Vincas Ciziunas, einen Forscher bei Nisos, wäre Korinets eine „zentrale Figur“ in der Hacker-Community von Syktyvkar. Ciziunas enthüllte die Existenz einer Reihe von russischsprachigen Internetforen, in denen Korinets über seine Hacking-Aktivitäten sprach.

Korinets wurde von Reuters kontaktiert und bestätigte, dass er die anstößigen E-Mail-Konten besaß, bestritt jedoch jegliche Beteiligung an Cold River. Allerdings räumte er ein, über Hacker-Expertise zu verfügen, was ihm in der Vergangenheit eine Geldstrafe vor einem russischen Gericht gekostet hätte.

Reuters hat jedoch unabhängig die enge Verbindung zwischen den Aktivitäten von Korinets und Cold River auf der Grundlage von Daten überprüft, die von den Cybersicherheitsfirmen Constella Intelligence und DomainTools gesammelt wurden, dank derer festgestellt werden konnte, dass die E-Mail-Adressen von Korinets zum Öffnen zahlreicher Websites verwendet wurden, die in Cold River verwendet wurden Hack-Kampagnen von 2015 bis 2020.

Unklar sei, so Reuters , ob Korineta auch nach 2020 Operationen durchgeführt habe. Auf Drängen der britischen Presseagentur habe der Betroffene es vorgezogen, zu schweigen.


Dies ist eine Übersetzung eines Artikels, der am Mon, 09 Jan 2023 06:55:54 +0000 im italienischen Blog Start Magazine unter der URL https://www.startmag.it/cybersecurity/cold-river-attacco-hacker-laboratori-nucleare/ veröffentlicht wurde.