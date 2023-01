La National Security Agency (NSA) statunitense ha rifiutato di commentare le attività di Cold River. Il quartier generale britannico delle comunicazioni globali (GCHQ) non ha commentato così come il Ministero degli Esteri.

Logicamente il servizio di sicurezza federale russo (FSB), l'agenzia di sicurezza interna che conduce anche campagne di spionaggio per Mosca, e l'ambasciata russa a Washington non hanno risposto alle richieste di commento inviate via e-mail.

Cold River è apparso per la prima volta, secondo i professionisti dell'intelligence, prendendo di mira il ministero degli esteri britannico nel 2016 , ed è stato coinvolto in dozzine di altri incidenti di hacking di alto profilo negli ultimi anni, secondo le interviste con nove società di sicurezza informatica. Reuters, sempre nella sua inchiesta di James Pearson and Christopher Bing , ha rintracciato gli account e-mail utilizzati nelle sue operazioni di hacking tra il 2015 e il 2020 a un lavoratore IT nella città russa di Syktyvkar.

Tutto questo è stato racconto in un’inchiesta di Reuters che però non è stato in grado di determinare il motivo per cui i laboratori sono stati presi di mira o se qualsiasi tentativo di intrusione ha avuto successo.

Tra agosto e settembre, quando il presidente Vladimir Puti n ha indicato che la Russia sarebbe disposta a usare armi nucleari per difendere il proprio territorio, Cold River, un gruppo hacker russo,ha preso di mira i laboratori nazionali di Brookhaven (BNL), Argonne (ANL) e Lawrence Livermore (LLNL ), secondo i record di Internet che ha mostrato gli hacker che creano false pagine di accesso per ogni istituzione e inviano e-mail a scienziati nucleari nel tentativo di far rivelare loro le password.

Un po' di storia

A maggio, Cold River ha fatto trapelare e-mail appartenenti all'ex capo del servizio di spionaggio MI6 britannico. Questa è stata solo una delle numerose operazioni di "hack and leak" dell'anno scorso da parte di hacker collegati alla Russia in cui le comunicazioni riservate sono state rese pubbliche in Gran Bretagna, Polonia e Lettonia, secondo esperti di sicurezza informatica e funzionari della sicurezza dell'Europa orientale.

In un'altra recente operazione di spionaggio contro i critici di Mosca, Cold River ha registrato nomi di dominio progettati per imitare almeno tre ONG europee che indagano sui crimini di guerra, secondo la società di sicurezza informatica francese SEKOIA.IO.

I tentativi di hacking legati alle ONG hanno avuto una tempistica particolare: sono avvenuti poco prima e dopo il lancio, il 18 ottobre, di un rapporto da parte delle Nazioni Unite, della commissione d'inchiesta indipendente, che ha ritenuto che le forze russe fossero responsabili della "stragrande maggioranza" delle violazioni dei diritti umani nelle prime settimane della guerra in Ucraina.

In un post sul blog, SEKOIA.IO ha affermato che, sulla base del suo obiettivo Cold River stava cercando di contribuire alla "raccolta di intelligence russa su prove identificate relative a crimini di guerra e/o procedure di giustizia internazionale". Reuters non è stata in grado di confermare in modo indipendente perché Cold River abbia preso di mira le ONG.

La Commission for International Justice and Accountability (CIJA), un'organizzazione no profit fondata da un veterano investigatore di crimini di guerra, ha affermato di essere stata ripetutamente presa di mira da hacker sostenuti dalla Russia negli ultimi otto anni senza successo. Le altre due ONG, il Centro Internazionale per i Conflitti Nonviolenti e il Centro per il Dialogo Umanitario, non hanno risposto alle richieste di commento.

Cold River ha impiegato tattiche come indurre le persone a inserire i propri nomi utente e password su siti Web falsi per ottenere l'accesso ai propri sistemi informatici, hanno detto a Reuters i ricercatori di sicurezza. Per fare ciò, Cold River ha utilizzato una varietà di account di posta elettronica per registrare nomi di dominio come "goo-link[.]online" e "online365-office[.]com" che a prima vista sembrano simili ai servizi legittimi gestiti dalle aziende come Google e Microsoft.

Ma anche Cold River ha il suo tallone di Achille tanto che negli ultimi anni ha commesso diversi passi falsi che hanno permesso agli analisti della sicurezza informatica di individuare l'esatta posizione e l'identità di uno dei suoi membri, fornendo l'indicazione più chiara dell'origine russa del gruppo, secondo gli esperti del gigante di Google, la della difesa britannica (appaltatore BAE) e U.S.A. (società di intelligence Nisos).

La preziosa inchiesta di Reuters ha riscontrato che diversi indirizzi e-mail personali utilizzati per impostare le missioni Cold River appartengono ad Andrey Korinets, un lavoratore IT e bodybuilder di 35 anni a Syktyvkar, a circa 1.600 km a nord-est di Mosca. L'utilizzo di questi account ha lasciato una scia di prove digitali da diversi attacchi alla vita online di Korinets, inclusi account di social media e siti Web personali.

Billy Leonard, un ingegnere della sicurezza del gruppo di analisi delle minacce di Google, che indaga sull'hacking dello stato della nazione, ha affermato che Korinets era coinvolto. "Google ha collegato questo individuo al gruppo di hacker russo Cold River e alle loro prime operazioni", ha affermato.

Vincas Ciziunas, un ricercatore di sicurezza presso Nisos che ha collegato gli indirizzi e-mail di Korinets all'attività di Cold River, ha affermato che il lavoratore IT sembrava essere una "figura centrale" nella comunità degli hacker di Syktyvkar.

Korinets ha confermato di possedere gli account di posta elettronica in un'intervista a Reuters, ma ha negato qualsiasi conoscenza di Cold River. Ha detto che la sua unica esperienza con l'hacking risale ad anni fa, quando è stato multato da un tribunale russo per un crimine informatico commesso durante una disputa commerciale con un ex cliente.

Reuters è stata in grado di confermare separatamente i collegamenti di Korinets a Cold River utilizzando i dati raccolti attraverso le piattaforme di ricerca sulla sicurezza informatica Constella Intelligence e DomainTools, che aiutano a identificare i proprietari dei siti Web: i dati hanno mostrato che gli indirizzi e-mail di Korinets registravano numerosi siti Web utilizzati nelle campagne di hacking di Cold River tra il 2015 e il 2020.

Un’inchiesta che mette sempre più in luce come le campagne di hacking siano presenti nella nuova struttura geopolitica del mondo e che diventano “armi” sul campo.