LONDEN/WASHINGTON, 6 januari (Reuters) – Een Russisch hackingteam dat bekend staat onder de naam Cold River heeft de afgelopen zomer drie nucleaire onderzoekslaboratoria in de Verenigde Staten aangevallen, zo blijkt uit internetgegevens die door Reuters en vijf cyberbeveiligingsdeskundigen zijn bestudeerd.
Tussen augustus en september, toen president Vladimir Poetin aangaf dat Rusland bereid zou zijn kernwapens te gebruiken om zijn grondgebied te verdedigen, richtte Cold River zich op de Brookhaven (BNL), Argonne (ANL) en Lawrence Livermore National Laboratories (LLNL), volgens internetgegevens waaruit bleek dat de hackers valse inlogpagina’s voor elke instelling creëerden en kernwetenschappers e-mailden in een poging hen hun wachtwoorden te laten onthullen.
Reuters kon niet vaststellen waarom de laboratoria het doelwit waren en of een poging tot inbraak succesvol was. Een woordvoerder van BNL gaf geen commentaar. LLNL reageerde niet op een verzoek om commentaar. Een woordvoerder van ANL verwees vragen door naar het Amerikaanse ministerie van Energie, dat geen commentaar gaf.
Cold River heeft zijn hackcampagne tegen de bondgenoten van Kiev sinds de invasie van Oekraïne opgevoerd, volgens cyberbeveiligingsonderzoekers en westerse overheidsfunctionarissen. De digitale aanval op de Amerikaanse laboratoria vond plaats toen VN-experts het door Rusland gecontroleerde Oekraïense grondgebied betraden om Europa’s grootste atoomcentrale te inspecteren en het risico te beoordelen van wat volgens beide partijen een verwoestende stralingsramp zou kunnen zijn, temidden van zware beschietingen in de buurt.
Cold River, dat voor het eerst op de radar van inlichtingendiensten verscheen nadat het in 2016 het Britse ministerie van Buitenlandse Zaken had aangevallen, is de afgelopen jaren betrokken geweest bij tientallen andere opvallende hackincidenten, volgens gesprekken met negen cyberbeveiligingsbedrijven. Reuters traceerde e-mailaccounts die tussen 2015 en 2020 bij zijn hackoperaties werden gebruikt naar een IT-medewerker in de Russische stad Syktyvkar.
“Dit is een van de belangrijkste hackersgroepen waar je nog nooit van hebt gehoord”, zegt Adam Meyer, senior vice president of intelligence bij het Amerikaanse cyberbeveiligingsbedrijf CrowdStrike. “Ze zijn betrokken bij de directe ondersteuning van informatieoperaties van het Kremlin.”
De Russische Federale Veiligheidsdienst (FSB), de binnenlandse veiligheidsdienst die ook spionagecampagnes voor Moskou uitvoert, en de Russische ambassade in Washington reageerden niet op gemailde verzoeken om commentaar.
Westerse functionarissen zeggen dat de Russische regering een wereldleider is in hacken en cyberspionage gebruikt om buitenlandse regeringen en industrieën te bespioneren om een concurrentievoordeel te behalen. Moskou heeft echter steeds ontkend dat het hackingoperaties uitvoert.
Reuters legde zijn bevindingen voor aan vijf deskundigen uit de industrie, die de betrokkenheid van Cold River bij de pogingen tot hacken van nucleaire laboratoria bevestigden, op basis van gedeelde digitale vingerafdrukken die onderzoekers in het verleden aan de groep hebben gekoppeld.
Het Amerikaanse National Security Agency (NSA) weigerde commentaar te geven op de activiteiten van Cold River. Het Britse Global Communications Headquarters (GCHQ), het NSA-equivalent, gaf geen commentaar. Het Ministerie van Buitenlandse Zaken weigerde commentaar te geven.
In mei brak Cold River in en lekte e-mails van het voormalige hoofd van de Britse spionagedienst MI6. Dat was slechts een van de verschillende “hack en lek” operaties vorig jaar door aan Rusland gelinkte hackers waarbij vertrouwelijke communicatie openbaar werd gemaakt in Groot-Brittannië, Polen en Letland, volgens cyberbeveiligingsdeskundigen en Oost-Europese veiligheidsfunctionarissen.
Bij een andere recente spionageoperatie, gericht tegen critici van Moskou, heeft Cold River domeinnamen geregistreerd die zijn ontworpen om ten minste drie Europese ngo’s te imiteren die onderzoek doen naar oorlogsmisdaden, volgens het Franse cyberbeveiligingsbedrijf SEKOIA.IO.
De hackpogingen in verband met ngo’s vonden plaats net voor en na de lancering op 18 oktober van een rapport van een onafhankelijke onderzoekscommissie van de Verenigde Naties waarin werd vastgesteld dat de Russische troepen verantwoordelijk waren voor de “overgrote meerderheid” van de mensenrechtenschendingen in de eerste weken van de Oekraïense oorlog, die Rusland een speciale militaire operatie heeft genoemd.
In een blogpost zei SEKOIA.IO dat Cold River, op basis van haar gerichtheid op de NGO’s, probeerde bij te dragen aan “het verzamelen van Russische inlichtingen over geïdentificeerd bewijsmateriaal in verband met oorlogsmisdaden en/of internationale gerechtelijke procedures”. Reuters kon niet onafhankelijk bevestigen waarom Cold River zich op de NGO’s richtte.
De Commission for International Justice and Accountability (CIJA), een non-profit opgericht door een ervaren onderzoeker van oorlogsmisdaden, zei dat het de afgelopen acht jaar herhaaldelijk doelwit was geweest van door Rusland gesteunde hackers, zonder succes. De andere twee NGO’s, het International Center of Nonviolent Conflict en het Centre for Humanitarian Dialogue, reageerden niet op verzoeken om commentaar.
De Russische ambassade in Washington reageerde niet op een verzoek om commentaar op de poging tot hack tegen CIJA.
Cold River heeft tactieken gebruikt zoals het misleiden van mensen om hun gebruikersnaam en wachtwoord in te voeren op valse websites om toegang te krijgen tot hun computersystemen, zo vertelden beveiligingsonderzoekers aan Reuters. Om dit te doen, heeft Cold River verschillende e-mailaccounts gebruikt om domeinnamen te registreren zoals “goo-link online” en “online365-office com“, die op het eerste gezicht lijken op legitieme diensten van bedrijven als Google en Microsoft, aldus de beveiligingsonderzoekers.
Cold River heeft de afgelopen jaren verschillende misstappen gemaakt waardoor cyberbeveiligingsanalisten de exacte locatie en identiteit van een van de leden konden achterhalen, wat de duidelijkste aanwijzing is dat de groep van Russische oorsprong is, aldus deskundigen van internetgigant Google, de Britse defensieaannemer BAE en de Amerikaanse inlichtingendienst Nisos.
Meerdere persoonlijke e-mailadressen die werden gebruikt om Cold River-missies op te zetten, behoren toe aan Andrey Korinets, een 35-jarige IT-medewerker en bodybuilder in Syktyvkar, ongeveer 1600 km ten noordoosten van Moskou. Het gebruik van deze accounts liet een spoor van digitaal bewijs van verschillende hacks achter naar het online leven van Korinets, waaronder social media accounts en persoonlijke websites.
Billy Leonard, een Security Engineer van Google’s Threat Analysis Group die onderzoek doet naar hacken door nationale staten, zei dat Korinets hierbij betrokken was. “Google heeft deze persoon in verband gebracht met de Russische hackinggroep Cold River en hun vroege operaties”, zei hij.
Vincas Ciziunas, een beveiligingsonderzoeker bij Nisos die Korinets’ e-mailadressen ook in verband bracht met Cold River-activiteiten, zei dat de IT-medewerker historisch gezien een “centrale figuur” leek te zijn in de Syktyvkar-hackgemeenschap. Ciziunas ontdekte een reeks Russischtalige internetfora, waaronder een eZine, waar Korinets hacking had besproken, en deelde die berichten met Reuters.
Korinets bevestigde in een interview met Reuters dat hij eigenaar was van de relevante e-mailaccounts, maar hij ontkende enige kennis van Cold River. Hij zei dat zijn enige ervaring met hacken jaren geleden was, toen hij door een Russische rechtbank werd beboet voor een computermisdrijf tijdens een zakelijk geschil met een voormalige klant.
Reuters kon de banden van Korinets met Cold River afzonderlijk bevestigen aan de hand van gegevens die zijn verzameld door cyberbeveiligingsonderzoeksplatforms Constella Intelligence en DomainTools, die helpen de eigenaars van websites te identificeren: uit de gegevens bleek dat de e-mailadressen van Korinets talrijke websites registreerden die tussen 2015 en 2020 werden gebruikt in Cold River-hackcampagnes.
Het is onduidelijk of Korinets sinds 2020 betrokken is geweest bij hackingoperaties. Hij bood geen verklaring voor het gebruik van deze e-mailadressen en reageerde niet op verdere telefoontjes en vragen per e-mail.
