首次揭秘：俄羅斯“冷河”黑客組織攻擊美國核實驗室 - 網安

路透社2023年1月6日獨家報道——根據路透社和五位網絡安全專家查看的互聯網記錄，2022年夏天，一個名為Cold River（冷河）的俄羅斯黑客團隊將美國的三個核研究實驗室作為網絡攻擊目標。

2022年8月至9月期間，由于俄羅斯總統弗拉基米爾·普京表示俄羅斯愿意使用核武器保衛其領土，根據互聯網記錄，Cold River組織瞄準了美國布魯克海文 (BNL)、阿貢 (ANL) 和勞倫斯利弗莫爾國家實驗室 (LLNL)，黑客為每個機構創建虛假登錄頁面，并通過電子郵件向這三個機構的核科學家發送釣魚電子郵件，以迫使他們透露登錄憑證。關于這一未遂的網絡攻擊事件，因被攻擊目標的極度敏感性而受到關注。但涉事的三家實驗室對未對攻擊事件表態，相應的情報機構如NSA、GCHQ及相關外交機構（英美外交部、俄駐美大使館），均未發表評論。對 Cold River組織的分析表明，僅能說明該組織與俄關聯較深，其網絡攻擊行動符合俄羅斯的戰略得益，但與已知的俄黑客組織似乎沒有強的關聯。

諱莫如深？

路透社無法確定為什么這些實驗室成為目標，或者是否有任何入侵企圖成功。三家涉及的實驗室均未對此事做出回復。BNL發言人拒絕置評。LLN L沒有回應置評請求。ANL發言人將問題轉給美國能源部，而能源部也拒絕置評此事。

據網絡安全研究人員和西方政府官員稱，自入侵烏克蘭以來，Cold River組織已經升級了針對基輔盟友的黑客攻擊活動。針對美國實驗室的數字閃電戰發生之際，聯合國專家進入俄羅斯控制的烏克蘭領土，檢查歐洲最大的原子能發電廠，并評估雙方所說的在附近猛烈炮擊下可能發生毀滅性輻射災難的風險。

根據對九家網絡安全公司的采訪，Cold River在2016年以英國外交部為攻擊目標后首次出現在情報專業人士的視線中，近年來還參與了數十起其他備受矚目的黑客事件。路透社追蹤其在2015年至2020年間的黑客行動中使用的電子郵件帳戶是俄羅斯城市Syktyvkar的一名IT員工。“這是你從未聽說過的最重要的黑客組織一，”美國網絡安全公司CrowdStrike的高級情報副總裁亞當邁耶斯說。“他們參與直接支持克里姆林宮的信息戰行動。”

俄羅斯聯邦安全局 (FSB)是國內安全機構，也為莫斯科開展間諜活動，俄羅斯駐華盛頓大使館未回復通過電子郵件發送的置評請求。

西方官員表示，俄羅斯政府在黑客攻擊方面處于全球領先地位，并利用網絡間諜活動監視外國政府和行業以尋求競爭優勢。然而，莫斯科一直否認它進行了黑客行動。

路透社向五位行業專家展示了其調查結果，他們根據研究人員掌握的與該組織相關聯的共享數字指紋，證實了Cold River參與了未遂的核實驗室黑客攻擊。

美國國家安全局(NSA)拒絕就Cold River的活動發表評論。英國全球通信總部(GCHQ)沒有發表評論。英國外交部拒絕置評。

情報偵察？

2022年5月，Cold River侵入并泄露了屬于英國軍情六處間諜部門前負責人的電子郵件。據網絡安全專家和東歐安全官員稱，這只是與俄羅斯有關聯的黑客去年在英國、波蘭和拉脫維亞公開的幾起“黑客和泄密”行動之一。

據法國網絡安全公司SEKOIA.IO的分析文章，在最近另一項針對莫斯科批評者的間諜活動中，Cold River注冊了旨在模仿至少三個調查戰爭罪的歐洲非政府組織的域名。

與非政府組織相關的黑客攻擊發生在聯合國獨立調查委員會于10月18日發布報告前后，該報告發現俄羅斯軍隊應對烏克蘭戰爭最初幾周的“絕大多數”侵犯人權行為負責，俄羅斯稱之為特別軍事行動。

SEKOIA.IO在其博客文章中表示，基于非政府組織的目標，Cold River正在尋求為“俄羅斯收集有關已確定的戰爭罪相關證據和/或國際司法程序的情報”做出貢獻。路透社無法獨立證實Cold River為何針對這些非政府組織。

國際正義與問責委員會(CIJA)是一家由資深戰爭罪調查員創立的非營利組織，該委員會表示，在過去八年中，俄羅斯支持的黑客多次將其作為目標，但均未成功。另外兩個非政府組織，國際非暴力沖突中心和人道主義對話中心，沒有回應置評請求。

俄羅斯駐華盛頓大使館沒有回復就針對CIJA的黑客企圖發表評論的請求。

安全研究人員告訴路透社，Cold River采用了一些策略，例如誘騙人們在虛假網站上輸入用戶名和口令以訪問他們的計算機系統。為此，Cold River 使用了多種電子郵件帳戶來注冊域名，例如“goo-link.online”和“online365-office.com”，這些域名乍一看類似于谷歌和微軟等公司運營的合法服務，安全研究人員說。

與俄羅斯的深厚淵源

據互聯網巨頭谷歌、英國國防承包商BAE和美國情報公司Nisos的專家稱，用于設置Cold River任務的多個個人電子郵件地址屬于Andrey Korinets，他此人是一名35歲的IT工作者和健美運動員，居住在莫斯科東北約 1,600公里（1,000英里）的Syktyvkar 。這些帳戶的使用留下了來自不同黑客的數字證據痕跡，可以追溯到Korinets的在線生活，包括社交媒體帳戶和個人網站。

調查國家黑客攻擊的谷歌威脅分析小組的安全工程師比利倫納德說，Korinets參與其中。“谷歌已將此人與俄羅斯黑客組織Cold River及其早期行動聯系起來，”他說。

Nisos的安全研究員Vincas Ciziunas也將Korinets的電子郵件地址與Cold River活動聯系起來，他表示，從歷史上看，這名IT工作者似乎是Syktyvkar黑客社區的“核心人物”。Ciziunas發現了一系列俄語互聯網論壇，包括Korinets討論黑客攻擊的電子雜志，并與路透社分享了這些帖子。

Korinets在接受路透社采訪時證實他擁有相關的電子郵件帳戶，但他否認對Cold River有任何了解。他說他唯一的黑客經歷是幾年前，當時他因在與前客戶的商業糾紛中犯下計算機犯罪而被俄羅斯法院罰款。

路透社能夠通過網絡安全研究平臺Constella Intelligence和DomainTools收集的數據分別確認Korinets與Cold River的鏈接，這些數據有助于識別網站所有者：數據顯示Korinets的電子郵件地址注冊了Cold River在2015年至2020年之間黑客活動中使用的眾多網站。

目前尚不清楚Korinets自2020年以來是否參與了黑客行動。他沒有解釋為什么使用這些電子郵件地址，也沒有回復進一步的電話和電子郵件問題。

“冷河”畫像

根據法國網絡安全公司SEKOIA.IO的分析，COLD RIVER（又名Callisto）被懷疑是一個與俄羅斯有關的入侵組織，至少從2017年4月開始活躍。盡管沒有公開將其歸咎于任何俄羅斯情報機構，但過去的Callisto行動顯示出與俄羅斯戰略利益密切相關的目標和受害者特征。

COLD RIVER主要針對西方國家，尤其是美國和東歐國家。據觀察，該組織開展了旨在竊取憑證的網絡釣魚活動，目標是軍事和戰略研究部門，如北約實體和烏克蘭的國防承包商，以及非政府組織和智庫。其他受害者包括前情報官員、俄羅斯事務專家和國外的俄羅斯公民。

在發現的Cold river使用的惡意域名中，三個引起了SEKOIA.IO分析師的注意，mvd-redir[.]ru 和 dns-mvd[.]ru（高置信度），它們極有可能對俄羅斯內政部進行域名仿冒，以及lk-nalog- gov[.]ru（低可信度）俄羅斯聯邦稅務局。基于觀察到Cold River針對國外的俄羅斯人這一事實，SEKOIA.IO評估該組織也進行國內監視的可能性是合理的。

雖然烏克蘭安全局 (SBU) 公開將 COLD RIVER 與Gamaredon Group聯系起來， Gamaredon 是一個歸因于俄羅斯聯邦安全局 (FSB) 的入侵組織，自2022年2月俄羅斯入侵開始以來主要開展針對烏克蘭的行動，但其他安全公司或研究人員并不支持這一判斷。SEKOIA.IO進行了進一步的技術調查，但沒有發現Calisto和 Gamaredon活動之間有任何重疊。

盡管沒有將COLD RIVER活動與已知的俄羅斯網絡攻擊服務相關聯的技術證據，SEKOIA.IO評估認為這種入侵與情報收集活動針對參與支持烏克蘭的各方，尤其是針對戰術裝備與后勤保障方面的活動，可能有助于俄羅斯打擊用于軍事增援的基輔供應鏈。

根據國際司法和問責委員會非政府組織的目標，SEKOIA.IO評估COLD RIVER有助于俄羅斯收集有關已確定的戰爭罪相關證據和/或國際司法程序的情報，可能會預測未來的指控并建立反向敘事。