Gefälschte Websites

Russische Hackergruppe griff US-Atomforscher an

(Bild: Reuters)

Russische Hacker haben im vergangenen Sommer versucht, in drei US-amerikanische Nuklear-Forschungseinrichtungen einzudringen. Die unter dem Namen Cold River bekannte Gruppe hat demnach im August und September Atomwissenschaftler an den Instituten Brookhaven, Argonne und den Lawrence Livermore National Laboratories angeschrieben, um sie dazu zu bewegen, sich auf gefälschten Websites bei ihren Instituten anzumelden.

Die Hacker wollten laut Recherchen der Nachrichtenagentur Reuters dadurch an die Passwörter für das interne Netz der Forschungseinrichtungen gelangen. Das geht aus aufgezeichnetem Datenverkehr im Internet hervor, der von Reuters und fünf Cyber-Sicherheitsexperten überprüft wurde. Reuters konnte nicht herausfinden, warum die Institute angegriffen wurden oder ob ein versuchter Einbruch erfolgreich war.

Hackerangriffe seit Ukraine-Krieg ausgeweitet
Nach Angaben von Experten für Sicherheit im Internet und westlichen Regierungsvertretern hat Cold River seine Hacking-Angriffe seit dem Einmarsch in die Ukraine ausgeweitet. Cold River fiel westlichen Geheimdiensten erstmals 2016 auf, als das britische Außenministerium angegriffen wurde. Seitdem wurden Dutzende andere Hackerangriffe, an denen die Gruppe beteiligt sein soll, registriert.

Experten, die im Bereich Cybersicherheit forschen, sagten Reuters, Cold River nutze eine Vielzahl von E-Mail-Konten, um Domänennamen wie „goo-link.online“ und „online365-office.com“ zu registrieren. Diese wirkten auf den ersten Blick wie Dienste von Firmen wie Google und Microsoft.

Websites von mindestens drei NGOs imitiert
Nach Angaben der französischen Cybersicherheitsfirma SEKOIA.IO imitierte Cold River auf diesem Wege auch die Seiten von mindestens drei europäischen Nichtregierungsorganisationen (NGOs), die russische Kriegsverbrechen in der Ukraine untersuchten. Offen blieb, warum die Hacker die NGOs ins Visier nahmen.

Mehrere Fehler von Cold River haben es nach Angaben von Spezialisten des US-Konzerns Google, des britischen Rüstungsunternehmens BAE und der US-Firma für Cybersicherheit, Nisos, ermöglicht, den Standort und die Identität eines ihrer Mitglieder zu ermitteln. Demnach gehören mehrere E-Mail-Adressen, die bei Hacker-Angriffen verwendet wurden, Andrej Korinets, einem 35-jährigen IT-Fachmann und Bodybuilder in Syktywkar etwa 1600 Kilometer nordöstlich von Moskau.

„Google hat diese Person mit der russischen Hackergruppe Cold River und deren frühen Angriffen in Verbindung bringen können“, sagte der Experte Billy Leonard der Agentur Reuters. Der Nisos-Fachmann Vincas Ciziunas erklärte, Korinets scheine eine bei früheren Hackeraktivitäten zentrale Figur gewesen zu sein. Reuters kontaktierte Korinets, der zwar die E-Mail-Konten bestätigte, jedoch jegliche Kenntnis von Cold River bestritt.