Russische Hacker griffen Nuklear-Forschungseinrichtungen an

Russische Hacker*innen haben nach Reuters-Recherchen im vergangenen Sommer versucht, in 3 US-amerikanische Nuklear-Forschungseinrichtungen einzudringen. Die unter dem Namen Cold River bekannte Gruppe hat demnach zwischen August und September Atomwissenschaftler*innen an den Instituten Brookhaven, Argonne und Lawrence Livermore National Laboratories angeschrieben, um sie dazu zu bewegen, sich auf gefälschten Internet-Seiten bei ihren Instituten anzumelden.

Die Hacker*innen wollten dadurch an die Passwörter für das interne Netz der Forschungseinrichtungen gelangen. Das geht aus aufgezeichnetem Datenverkehr im Internet hervor, der von Reuters und fünf Cyber-Sicherheitsexperten überprüft wurde.

Reuters konnte nicht herausfinden, warum die Institute angegriffen wurden oder ob ein versuchter Einbruch erfolgreich war. Nach Angaben von Expert*innen für Sicherheit im Internet und westlichen Regierungsvertretern hat Cold River seine Hacking-Angriffe seit dem Einmarsch in die Ukraine ausgeweitet. Cold River fiel westlichen Geheimdiensten erstmals 2016 auf, als das britische Außenministerium angegriffen wurde. Seitdem wurden Dutzende andere Hackerangriffe, an denen die Gruppe beteiligt sein soll, registriert.

Imitiert Firmen

Expert*innen, die im Bereich Cybersicherheit forschen, sagten Reuters, Cold River nutze eine Vielzahl von E-Mail-Konten, um Domänennamen wie "goo-link.online" und "online365-office.com" zu registrieren. Diese wirkten auf den ersten Blick wie Dienste von Firmen wie Google und Microsoft. Nach Angaben der französischen Cybersicherheitsfirma SEKOIA.IO imitierte Cold River auf diesem Wege auch die Seiten von mindestens drei europäischen Nichtregierungsorganisationen, die russische Kriegsverbrechen in der Ukraine untersuchten. Offen blieb, warum die Hacker die NGOs ins Visier nahmen.

Mehrere Fehler von Cold River haben es nach Angaben von Spezialisten des US-Konzerns Google, des britischen Rüstungsunternehmens BAE und der US-Firma für Cybersicherheit Nisos ermöglicht, den Standort und die Identität eines ihrer Mitglieder zu ermitteln. Demnach gehören mehrere E-Mail-Adressen, die bei Angriffen verwendet wurden, Andrej Korinets, einem 35-jährigen IT-Fachmann und Bodybuilder in Syktywkar, etwa 1600 Kilometer nordöstlich von Moskau.

"Google hat diese Person mit der russischen Hackergruppe Cold River und deren frühen Angriffen in Verbindung bringen können", sagte der Experte der Threat Analysis Group von Google, Billy Leonard, Reuters. Der Nisos-Fachmann Vincas Ciziunas erklärte, Korinets scheine eine bei früheren Hackeraktivitäten zentrale Figur gewesen zu sein. Reuters kontaktierte Korinets, der zwar die E-Mail-Konten bestätigte, jedoch jegliche Kenntnis von Cold River bestritt.