Durante los meses de agosto y septiembre de 2022, el grupo de hackers rusos Cold River apuntó a tres laboratorios de investigación nuclear en Estados Unidos. Según registros de Internet revisados por Reuters y cinco expertos en ciberseguridad. Los Laboratorios Nacionales Brookhaven, Argonne y Lawrence Livermore estaban bajo el radar de los piratas informáticos.
Estos piratas informáticos han creado páginas de inicio de sesión falsas. Y ha estado enviando correos electrónicos a científicos nucleares en un intento de obtener sus contraseñas. No se conoce la razón por la cual los laboratorios fueron atacados. O si de momento alguna intrusión ha tenido éxito. Sin embargo, el Departamento de Energía de EE. UU., así como los portavoces de los Laboratorios Nacionales Brookhaven y Lawrence Livermore, se negaron a comentar sobre el asunto.
Los grupos de hackers rusos están comenzando a apuntar a los aliados de Ucrania
Se sabe que Cold River ha intensificado sus campañas de piratería informática contra los aliados de Ucrania tras la invasión de Ucrania. Según investigadores de seguridad cibernética y funcionarios del gobierno occidental. Los ataques a laboratorios estadounidenses se produjeron cuando expertos de la ONU inspeccionaban una planta de energía nuclear controlada por Rusia en Ucrania. En medio de preocupaciones sobre el riesgo de un desastre radiactivo.
Cold River llamó por primera vez la atención de los profesionales de inteligencia después de que atacó al Ministerio de Relaciones Exteriores británico en 2016. Y se ha relacionado con varios incidentes de piratería de alto perfil. Todo en los últimos años, según entrevistas a nueve empresas de ciberseguridad.
Segundo Reuters, fueron capaces de rastrear cuentas de correo electrónico. Cold River había utilizado esas cuentas en sus operaciones de piratería. Entre 2015 y 2020 a un trabajador de TI en la ciudad rusa de Syktyvkar.
Adam Meyers, vicepresidente senior de inteligencia de la firma de ciberseguridad CrowdStrike. Afirmó que Cold River es “uno de los grupos de hackers más importantes de los que nunca has oído hablar”. Y está “involucrado en el apoyo directo a las operaciones de inteligencia del Kremlin”.
Rusia se niega a responder preguntas sobre ataques de hackers
El Servicio de Seguridad Federal de Rusia y la embajada en Washington no respondieron a las solicitudes de comentarios sobre el asunto. Los funcionarios occidentales dicen que Rusia está involucrada en ciberespionaje y piratería generalizados. Con el fin de obtener una ventaja competitiva. Por otro lado, Moscú siempre niega estas acusaciones.
Cinco expertos de la industria han confirmado la participación de Cold River en intentos de atacar laboratorios nucleares. Basado en huellas dactilares compartidas que se han vinculado previamente al grupo.
La Agencia de Seguridad Nacional de Estados Unidos se negó a comentar sobre las actividades de Cold River. La sede de comunicaciones globales y el Ministerio de Relaciones Exteriores de Gran Bretaña tampoco respondieron a las solicitudes de comentarios.
Cold River ha estado involucrado en varias operaciones de “pirateo y fuga”. A través de estos, se hicieron públicas comunicaciones confidenciales en Gran Bretaña, Polonia y Letonia. Según lo informado por expertos en ciberseguridad y funcionarios de seguridad de Europa del Este.
Gizchina Noticias de la semana
Piratas informáticos rusos, correos electrónicos de Cold River de la agencia de espionaje británica M16 filtrados
En mayo, el grupo filtró correos electrónicos pertenecientes al exjefe de la agencia de espionaje británica MI6. Según la firma francesa de ciberseguridad SEKOIA.IO. También descubrieron que Cold Rivers había registrado nombres de dominio que imitan a tres ONG europeas que investigan crímenes de guerra.
Estos intentos de piratería ocurrieron antes y después de la publicación de un informe de una comisión de investigación independiente de la ONU. Este informe encontró que las fuerzas rusas fueron responsables de la mayoría de las violaciones de derechos humanos. Eran las primeras semanas de la guerra en Ucrania. No está claro por qué Cold River apuntó a las ONG.
La Comisión de Responsabilidad y Justicia Internacional (CIJA). Una organización sin fines de lucro fundada por un experimentado investigador de crímenes de guerra. CIJA informó que ha sido objeto de múltiples intentos de piratería por parte de piratas informáticos respaldados por Rusia en los últimos ocho años. Pero todos esos intentos de piratería no tuvieron éxito.
El Centro Internacional para el Conflicto No Violento y el Centro para el Diálogo Humanitario no respondieron a las solicitudes de comentarios. La embajada rusa en Washington tampoco respondió a una solicitud de comentarios sobre el intento de pirateo de CIJA.
Cold River (hackers rusos) ahora usa nuevas tácticas
Cold River ha adoptado nuevas tácticas. Estas tácticas incluyen engañar a las personas para que ingresen su información de inicio de sesión en sitios web falsos para obtener acceso a sus computadoras. Según los investigadores de seguridad. El grupo usó varias cuentas de correo electrónico para registrar nombres de dominio, como goo-link.online Y online365-office.com.
Estos sitios se parecen a los servicios legítimos proporcionados por empresas como Google y Microsoft. Los analistas de seguridad de Google, BAE y Nisos han identificado la ubicación de Cold River. También encontraron la identidad de uno de sus integrantes debido a errores recientes cometidos por el grupo. Esta fue la evidencia más fuerte que prueba que Cold River se origina en Rusia.
Se sospecha que un culturista ruso está trabajando con Cold River
Andrey Korinets es un trabajador de TI de 35 años. Y culturista de Syktyvkar, Rusia. Los informes indican que Andrey tiene vínculos con el grupo de piratería Cold River. Encontraron evidencia a través de múltiples direcciones de correo electrónico personales utilizadas para configurar las operaciones del grupo.
El uso de estas cuentas ha dejado un rastro digital que conduce a la presencia en línea de Korinets. Esto incluye cuentas de redes sociales y sitios web personales. Billy Leonard, ingeniero de seguridad del Grupo de Análisis de Amenazas de Google, dijo que Korinets era parte de Cold River. “Google ha vinculado a este individuo con el grupo de piratas informáticos Russian Cold River y sus primeras operaciones”, dijo Leonard.
Vincas Ciziunas, un investigador de seguridad en Nisos, también vinculó las direcciones de correo electrónico de Korinets con la actividad de Cold River. Ciziunas descubrió foros de Internet en ruso. Incluyendo un eZine, donde Korinets había discutido la piratería y compartido las publicaciones con Reuters. Ciziunas cree que Korinets es una “figura central” en la comunidad de hackers de Syktyvkar.
Korinets admitió poseer las cuentas de correo electrónico relevantes, pero negó tener conocimiento de Cold River. Afirmó que su única experiencia con la piratería fue con el delito cibernético. Cometió este delito durante una disputa comercial con un antiguo cliente. Debido a esto, el tribunal ruso le ordenó pagar una multa.
Así como las declaraciones y pruebas aportadas por Google y Nisos. Reuters pudo confirmar de forma independiente la asociación de Andrey Korinets con Cold River. Esto se hizo mediante el uso de las plataformas de investigación de ciberseguridad Constella Intelligence y DomainTools.
Estas plataformas, que ayudan a determinar los propietarios de los sitios web. Reveló que las direcciones de correo electrónico de Korinets registraron varios sitios web. La mayoría de estos sitios web se utilizaron en campañas de piratería de Cold River entre 2015 y 2020. Actualmente se desconoce si Korinets ha participado en operaciones de piratería desde 2020. Le pidieron que proporcionara una explicación sobre el uso de estas direcciones de correo electrónico. Y debido a que no respondió más preguntas, Korinets no proporcionó una respuesta.