Un gruppo di cybercriminali russo, chiamato Cold River, ha cercato di hackerare tre laboratori di ricerca sul nucleare negli Stati Uniti. Tutti i dettagli
È uno scoop esclusivo di Reuters a rivelarci come l’estate scorsa, proprio mentre Vladimir Putin brandiva l’arma nucleare minacciandone l’uso, tre laboratori di ricerca nucleare Usa hanno subito un tentativo di intrusione informatica ad opera di un gruppo hacker russo conosciuto come Cold River.
L’attacco
Tra agosto e settembre del 2022 Cold River ha preso di mira i laboratori di Brookhaven, Argonne e Lawrence Livermore. Il gruppo nella fattispecie avrebbe creato delle false pagine di login e inviato mail agli scienziati nucleari nel tentativo di carpirne le password.
Non si sa se l’operazione abbia avuto successo. Contattati da Reuters, i tre laboratori si sono trincerati nel silenzio. Tacciono anche il dipartimento per l’Energia Usa e la NSA.
Ciò che è emerso invece sono le impronte digitali informatiche degli attaccanti: Reuters le ha mostrate a cinque esperti di cybersicurezza che le hanno ricondotte univocamente a Cold River.
I precedenti
Adam Meyers, vicepresidente dell’intelligence della società di cybersicurezza CrowdStrike, ne è convinto: Cold River è “uno dei più importanti gruppi hacker di cui si è sentito parlare” ed è “coinvolto nel supporto diretto alle operazioni di informazione del Cremlino”.
Il gruppo entra per la prima volta nei radar dei professionisti dell’intelligence nel 2016 dopo aver condotto un attacco al Foreign Office di Londra. Da allora, come evidenziano cinque società di cybersicurezza intervistate da Reuters, Cold River si è reso protagonista di decine di altri attacchi informatici di alto profilo.
A fare notizia in particolare è stato quello condotto nel maggio scorso sempre in Gran Bretagna, dove, come riferì a suo tempo Nbc, il gruppo è entrato in possesso di numerose email scritte da personalità pubbliche, tra cui figurava in primo piano l’ex capo del servizio di intelligence MI6 Sir Richard Dearlove, e le ha rese pubbliche in pieno stile Wikileaks.
Stando a Reuters, Cold River ha condotto una intensa campagna di attacchi contro obiettivi riconducibili a Kiev a partire dal 24 febbraio scorso, giorno iniziale dell’invasione dell’Ucraina.
Si segnala in particolare un’operazione condotta contro tre ong europee che si stanno occupando dei crimini di guerra perpetrati dalle forze russe. Secondo la società di cybersicurezza francese Sekoia, Cold River ha tentato di contribuire “alla raccolta di informazioni di intelligence da parte russa relative a prove di crimini di guerra identificati e/o alle procedure internazionali di giustizia”.
– Leggi anche: Nave spia russa nell’Adriatico, che cosa sta succedendo
Chi c’è dietro Cold River?
Sfortunatamente per loro, gli hacker di Cold River nel condurre le loro operazioni hanno lasciato molte tracce della loro attività che hanno permesso di risalire all’identità di uno dei suoi membri.
In particolare gli account email usati per realizzare gli attacchi sono stati collegati a un trentacinquenne informatico e bodybuilder che vive nella città russa di Syktyvkar. L’uomo in questione si chiama Andrej Korinets e, secondo Billy Leonard, ingegnere della sicurezza di Google, è coinvolto nelle attività di Cold River sin dai suoi albori.
Per Vincas Ciziunas, ricercatore presso Nisos, Korinets sarebbe una “figura centrale” nella comunità hacker di Syktyvkar. Ciziunas ha svelato l’esistenza di una serie di forum internet in lingua russa in cui Korinets parlava della sua attività di hacker.
Contattato da Reuters, Korinets ha confermato di essere il titolare degli account email incriminati ma ha negato ogni coinvolgimento in Cold River. Ha ammesso tuttavia di avere un certo expertise in campo hacker, che gli sarebbe costato in passato una multa da un tribunale russo.
Reuters ha tuttavia verificato in modo indipendente la stretta connessione tra Korinets e le attività di Cold River rifacendosi ai dati raccolti dalle società di cybersicurezza Constella Intelligence e DomainTools, grazie a cui si è potuto stabilire che gli indirizzi email di Korinets sono stati usati per aprire numerosi siti internet usati nelle campagne hacker di Cold River condotte dal 2015 al 2020.
Ciò che non risulta chiaro, sottolinea Reuters, è se Korineta abbia condotto operazioni anche dopo il 2020. Sollecitato dall’agenzia di stampa britannica, il diretto interessato ha preferito il silenzio.
ISCRIVITI ALLA NOSTRA NEWSLETTER
Iscriviti alla nostra mailing list per ricevere la nostra newsletter
Iscrizione avvenuta con successo, ti dovrebbe arrivare una email con la quale devi confermare la tua iscrizione. Grazie da EnergiaOltre!
Errore
Rispettiamo la tua privacy, non ti invieremo SPAM e non passiamo la tua email a Terzi
