Hackers rusos atacaron a computadoras de científicos nucleares de EU

0
118

MOSCÚ.- Un equipo ruso de hackers conocido como “Cold River” (Río Frío) apuntó a tres laboratorios de investigación nuclear en Estados Unidos el verano pasado, según registros de Internet revisados ​​por la agencia Reuters y cinco expertos en seguridad cibernética.

Entre agosto y septiembre, cuando el presidente Vladimir Putin indicó que Rusia estaría dispuesta a usar armas nucleares para defender su territorio, los Cold River apuntaron a los Laboratorios Nacionales Brookhaven (BNL), Argonne (ANL) y Lawrence Livermore (LLNL), según registros de Internet que mostró a los piratas informáticos creando páginas de inicio de sesión falsas para cada institución y enviando correos electrónicos a científicos nucleares en un intento por hacer que revelaran sus contraseñas.

Reuters no pudo determinar por qué los laboratorios fueron atacados o si algún intento de intrusión tuvo éxito. Un vocero del BNL se negó a comentar. LLNL no respondió a una solicitud de comentarios. Un portavoz de ANL remitió las preguntas al Departamento de Energía de Estados Unidos, que se negó a comentar.

Los hackers rusos ha intensificado su campaña de piratería contra los aliados de Kiev desde la invasión de Ucrania, según investigadores de ciberseguridad y funcionarios del gobierno occidental. El bombardeo digital contra los laboratorios estadunidenses ocurrió cuando expertos de la ONU ingresaron al territorio ucraniano controlado por Rusia para inspeccionar la planta de energía atómica más grande de Europa y evaluar el riesgo de lo que ambas partes dijeron que podría ser un devastador desastre de radiación en medio de fuertes bombardeos cercanos.

Los Cold River, que aparecieron por primera vez en el radar de los profesionales de inteligencia después de apuntar a la oficina de relaciones exteriores de Gran Bretaña en 2016, ha estado involucrado en docenas de otros incidentes de piratería de alto perfil en los últimos años, según entrevistas con nueve empresas de seguridad cibernética. Reuters rastreó las cuentas de correo electrónico utilizadas en sus operaciones de piratería entre 2015 y 2020 hasta un trabajador de TI en la ciudad rusa de Syktyvkar.

“Este es uno de los grupos de piratería más importantes de los que nunca has oído hablar”, dijo Adam Meyers, vicepresidente senior de inteligencia de la firma estadunidense de ciberseguridad CrowdStrike. “Están involucrados en el apoyo directo a las operaciones de información del Kremlin”.

El Servicio de Seguridad Federal de Rusia (FSB), la agencia de seguridad nacional que también realiza campañas de espionaje para Moscú, y la embajada de Rusia en Washington no respondieron a las solicitudes de comentarios enviadas por correo electrónico. La Agencia de Seguridad Nacional (NSA) de Estados Unidos se negó a comentar sobre las actividades de Cold River. La Sede de Comunicaciones Globales de Gran Bretaña (GCHQ), su equivalente de la NSA, no hizo comentarios. El Ministerio de Relaciones Exteriores de Rsuia y la Embajda de Rusia en Washington también se negaron a comentar.

Los funcionarios occidentales dicen que el gobierno ruso es un líder mundial en piratería y utiliza el ciberespionaje para espiar a gobiernos e industrias extranjeros en busca de una ventaja competitiva. Sin embargo, Moscú ha negado sistemáticamente que lleve a cabo operaciones de piratería. La agencia Reuters mostró sus hallazgos a cinco expertos de la industria que confirmaron la participación de los Cold River en los intentos de hackeo de los laboratorios nucleares, basándose en huellas digitales compartidas que los investigadores han vinculado históricamente al grupo.

Recopilaciones de inteligencia
En mayo, Cold River irrumpió y filtró correos electrónicos pertenecientes al exjefe del servicio de espionaje británico MI6. Esa fue solo una de varias operaciones de “pirateo y filtración” el año pasado por parte de piratas informáticos vinculados a Rusia en las que se hicieron públicas comunicaciones confidenciales en Gran Bretaña, Polonia y Letonia, según expertos en seguridad cibernética y funcionarios de seguridad de Europa del Este.

En otra operación de espionaje reciente dirigida a los críticos de Moscú, Cold River registró nombres de dominio diseñados para imitar al menos a tres ONG europeas que investigan crímenes de guerra, según la firma francesa de ciberseguridad SEKOIA.IO.

Los intentos de piratería relacionados con ONG ocurrieron justo antes y después del lanzamiento el 18 de octubre de un informe de una comisión de investigación independiente de la ONU que encontró que las fuerzas rusas fueron responsables de la “gran mayoría” de las violaciones de derechos humanos en las primeras semanas de la guerra de Ucrania. que Rusia ha llamado una operación militar especial.

En una publicación de blog , SEKOIA.IO dijo que, basándose en su objetivo de las ONG, Cold River buscaba contribuir a la “recopilación de inteligencia rusa sobre evidencia relacionada con crímenes de guerra identificados y/o procedimientos de justicia internacional”. Reuters no pudo confirmar de forma independiente por qué Cold River apuntó a las ONG.

La Comisión para la Justicia Internacional y la Responsabilidad (CIJA), una organización sin fines de lucro fundada por un veterano investigador de crímenes de guerra, dijo que ha sido atacada repetidamente por piratas informáticos respaldados por Rusia en los últimos ocho años sin éxito. Las otras dos ONG, el Centro Internacional de Conflictos No Violentos y el Centro para el Diálogo Humanitario, no respondieron a las solicitudes de comentarios.

Los Cold River ha empleado tácticas como engañar a las personas para que ingresen sus nombres de usuario y contraseñas en sitios web falsos para obtener acceso a sus sistemas informáticos, dijeron investigadores de seguridad a Reuters. Para hacer esto, han utilizado una variedad de cuentas de correo electrónico para registrar nombres de dominio como “goo-link.online” y “online365-office.com”, que a simple vista parecen servicios legítimos operados por empresas como Google y Microsoft. , dijeron los investigadores de seguridad.

Sus lazos profundos con Rusia
El grupo de hackers cometió varios errores en los últimos años que permitieron a los analistas de seguridad cibernética determinar la ubicación exacta y la identidad de uno de sus miembros, brindando la indicación más clara hasta el momento del origen ruso del grupo, según expertos del gigante de Internet Google, el contratista de defensa británico BAE y La firma de inteligencia estadounidense Nisos.

Varias direcciones de correo electrónico personales utilizadas para configurar las misiones de los Cold River pertenecen a Andrey Korinets, un trabajador de Tecnologías de la Información (TI) y culturista de 35 años en Syktyvkar, a unos mil 600 km al noreste de Moscú . El uso de estas cuentas dejó un rastro de evidencia digital de diferentes hackeos a la vida en línea de Korinets, incluidas cuentas de redes sociales y sitios web personales.

Billy Leonard, un ingeniero de seguridad del Grupo de análisis de amenazas de Google que investiga la piratería informática de los estados nacionales, dijo que Korinets estuvo involucrado. “Google ha relacionado a este individuo con el grupo de hackers ruso Cold River y sus primeras operaciones”, dijo.

Vincas Ciziunas, un investigador de seguridad de Nisos que también conectó las direcciones de correo electrónico de Korinets con la actividad de Cold River, dijo que históricamente el trabajador de TI parecía ser una “figura central” en la comunidad de hackers de Syktyvkar. Ciziunas descubrió una serie de foros de Internet en ruso, incluido un eZine, donde Korinets había discutido la piratería y compartió esas publicaciones.

Korinets confirmó que poseía las cuentas de correo electrónico relevantes en una entrevista con Reuters, pero negó tener conocimiento de Cold River. Dijo que su única experiencia con la piratería se produjo hace años cuando un tribunal ruso lo multó por un delito informático cometido durante una disputa comercial con un antiguo cliente.

La agencia pudo confirmar por separado los vínculos de Korinets con Cold River mediante el uso de datos compilados a través de las plataformas de investigación de ciberseguridad Constella Intelligence y DomainTools, que ayudan a identificar a los propietarios de los sitios web: los datos mostraron que las direcciones de correo electrónico de Korinets registraron numerosos sitios web utilizados en las campañas de piratería de Cold River. entre 2015 y 2020.

No está claro si Korinets ha estado involucrado en operaciones de piratería desde 2020. No ofreció ninguna explicación de por qué se usaron estas direcciones de correo electrónico y no respondió a más llamadas telefónicas y preguntas por correo electrónico.

 

¡Mantente informado las 24 horas, los 7 días de la semana. Da click en el enlace y descarga nuestra App!