Un equipo de Hackeo Ruso conocido como “Cold River” apuntó a tres laboratorios de investigación nuclear en los Estados Unidos el verano pasado según registros de Internet revisados por Reuters y cinco expertos en seguridad cibernética.
Entre agosto y septiembre cuando el presidente Vladimir Putin indicó que Rusia estaría dispuesta a usar armas nucleares para defender su territorio Cold River apuntó a los Laboratorios Nacionales Brookhaven (BNL), Argonne (ANL) y Lawrence Livermore (LLNL) según registros de Internet que mostró a los hackers informáticos creando páginas de inicio de sesión falsas para cada institución y enviando correos electrónicos a científicos nucleares en un intento por hacer que revelaran sus contraseñas.
Reuters no pudo determinar por qué los laboratorios fueron atacados o si algún intento de intrusión tuvo éxito. Un portavoz de BNL se negó a comentar, LLNL no respondió a una solicitud de comentarios., un portavoz de ANL remitió las preguntas al Departamento de Energía de EE. UU. que se negó a comentar.
Cold River ha intensificado su campaña de Hackeo contra los aliados de Kyiv desde la invasión de Ucrania, según investigadores de ciberseguridad y funcionarios del gobierno occidental. El bombardeo digital contra los laboratorios estadounidenses ocurrió cuando expertos de la ONU ingresaron al territorio ucraniano controlado por Rusia para inspeccionar la planta de energía atómica más grande de Europa y evaluar el riesgo de lo que ambas partes dijeron que podría ser un devastador desastre de radiación en medio de fuertes bombardeos cercanos.
Cold River que apareció por primera vez en el radar de los profesionales de inteligencia después de apuntar a la oficina de relaciones exteriores de Gran Bretaña en 2016 ha estado involucrado en docenas de otros incidentes de hackeo de alto perfil en los últimos años según entrevistas con nueve empresas de seguridad cibernética.
Reuters rastreó las cuentas de correo electrónico utilizadas en sus operaciones de hackeo entre 2015 y 2020 hasta un trabajador de TI en la ciudad rusa de Syktyvkar.
“Este es uno de los grupos de hackeo más importantes de los que nunca has oído hablar”, dijo Adam Meyer vicepresidente senior de inteligencia de la firma estadounidense de seguridad cibernética CrowdStrike. “Están involucrados en el apoyo directo a las operaciones de información del Kremlin”.
El Servicio de Seguridad Federal de Rusia (FSB), la agencia de seguridad nacional que también realiza campañas de espionaje para Moscú y la embajada de Rusia en Washington no respondieron a las solicitudes de comentarios enviadas por correo electrónico.
Los funcionarios occidentales dicen que el gobierno ruso es un líder mundial en hackeo y utiliza el ciberespionaje para espiar a gobiernos e industrias extranjeros en busca de una ventaja competitiva. Sin embargo Moscú ha negado sistemáticamente que lleve a cabo operaciones de hackeo.
Reuters mostró sus hallazgos a cinco expertos de la industria que confirmaron la participación de Cold River en los intentos de hackeo de los laboratorios nucleares basándose en huellas digitales compartidas que los investigadores han vinculado históricamente al grupo.
La Agencia de Seguridad Nacional de EE. UU. (NSA) se negó a comentar sobre las actividades de Cold River. La Sede de Comunicaciones Globales de Gran Bretaña (GCHQ) su equivalente de la NSA no hizo comentarios. El Ministerio de Relaciones Exteriores se negó a comentar.
‘Colección de inteligencia’
En mayo Cold River irrumpió y filtró correos electrónicos pertenecientes al exjefe del servicio de espionaje MI6 de Gran Bretaña. Esa fue solo una de varias operaciones de “hackeo y filtración” el año pasado por parte de hackers vinculados a Rusia en las que se hicieron públicas comunicaciones confidenciales en Gran Bretaña, Polonia y Letonia, según expertos en seguridad cibernética y funcionarios de seguridad de Europa del Este.
En otra operación de espionaje reciente dirigida a los críticos de Moscú, Cold River registró nombres de dominio diseñados para imitar al menos a tres ONG europeas que investigan crímenes de guerra según la firma francesa de ciberseguridad SEKOIA.IO.
Los intentos de hackeo relacionados con ONG ocurrieron justo antes y después del lanzamiento el 18 de octubre de un informe de una comisión de investigación independiente de la ONU que encontró que las fuerzas rusas fueron responsables de la “gran mayoría” de las violaciones de derechos humanos en las primeras semanas de la guerra de Ucrania. que Rusia ha llamado una “operación militar especial”.
En una publicación de blog, SEKOIA.IO dijo que, basándose en su objetivo de las ONG, Cold River buscaba contribuir a la “recopilación de inteligencia rusa sobre evidencia relacionada con crímenes de guerra identificados y/o procedimientos de justicia internacional”. Reuters no pudo confirmar de forma independiente por qué Cold River apuntó a las ONG.
La Comisión para la Justicia Internacional y la Responsabilidad (CIJA), una organización sin fines de lucro fundada por un veterano investigador de crímenes de guerra, dijo que ha sido atacada repetidamente por hacker respaldados por Rusia en los últimos ocho años sin éxito. Las otras dos ONG, el Centro Internacional de Conflictos No Violentos y el Centro para el Diálogo Humanitario, no respondieron a las solicitudes de comentarios.
La embajada de Rusia en Washington no respondió a una solicitud de comentarios sobre el intento de hackeo contra CIJA.
Cold River ha empleado tácticas como engañar a las personas para que ingresen sus nombres de usuario y contraseñas en sitios web falsos para obtener acceso a sus sistemas informáticos, dijeron investigadores de seguridad a Reuters. Para hacer esto, Cold River ha utilizado una variedad de cuentas de correo electrónico para registrar nombres de dominio como “goo-link online” y “online365-office com” que, a primera vista, se parecen a los servicios legítimos operados por empresas como Google y Microsoft, la dijeron los investigadores de seguridad.
Lazos profundos con Rusia
Cold River cometió varios errores en los últimos años que permitieron a los analistas de seguridad cibernética determinar la ubicación exacta y la identidad de uno de sus miembros, brindando la indicación más clara hasta el momento del origen ruso del grupo, según expertos del gigante de Internet Google, el contratista de defensa británico BAE y La firma de inteligencia estadounidense Nisos.
Varias direcciones de correo electrónico personales utilizadas para configurar las misiones de Cold River pertenecen a Andrey Korinets, un trabajador de TI y culturista de 35 años en Syktyvkar a unos 1.600 kilómetros (1.000 millas) al noreste de Moscú. El uso de estas cuentas dejó un rastro de evidencia digital de diferentes hackeos a la vida en línea de Korinets, incluidas cuentas de redes sociales y sitios web personales.
Billy Leonard, un ingeniero de seguridad del Grupo de análisis de amenazas de Google que investiga el hackeo de los estados nacionales, dijo que Korinets estuvo involucrado. “Google ha relacionado a este individuo con el grupo de hackers ruso Cold River y sus primeras operaciones”, dijo.
Vincas Ciziunas, un investigador de seguridad de Nisos que también conectó las direcciones de correo electrónico de Korinets con la actividad de Cold River, dijo que históricamente el trabajador de TI parecía ser una “figura central” en la comunidad de hackers de Syktyvkar. Ciziunas descubrió una serie de foros de Internet en ruso, incluido un eZine, donde Korinets había discutido el hackeo y compartió esas publicaciones con Reuters.
Korinets confirmó que poseía las cuentas de correo electrónico relevantes en una entrevista con Reuters, pero negó tener conocimiento de Cold River. Dijo que su única experiencia con el hackeo se produjo hace años cuando un tribunal ruso lo multó por un delito informático cometido durante una disputa comercial con un antiguo cliente.
Reuters pudo confirmar por separado los vínculos de Korinets con Cold River mediante el uso de datos compilados a través de las plataformas de investigación de ciberseguridad Constella Intelligence y DomainTools, que ayudan a identificar a los propietarios de los sitios web: los datos mostraron que las direcciones de correo electrónico de Korinets registraron numerosos sitios web utilizados en las campañas de hackeo de Cold River entre 2015 y 2020.
No está claro si Korinets ha estado involucrado en operaciones de hackeo desde 2020. No ofreció ninguna explicación de por qué se usaron estas direcciones de correo electrónico y no respondió a más llamadas telefónicas y preguntas por correo electrónico.
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.