وتوضح سجلات الإنترنت، فحصتها رويترز وخمسة من خبراء الأمن الإلكتروني، أن الفريق استهدف، بين أغسطس وسبتمبر، مختبرات بروكهافن وأرجون ولورانس ليفرمور الوطنية الأميركية.
وأظهرت السجلات أن القراصنة أنشأوا صفحات تسجيل دخول زائفة لكل مؤسسة وأرسلوا رسائل بريد إلكتروني إلى العلماء النوويين في محاولة لجعلهم يكشفون عن كلمات المرور الخاصة بهم.
وقال باحثون في مجال الأمن الإلكتروني ومسؤولون حكوميون غربيون إن فريق (كولد ريفر) كثف حملة القرصنة ضد حلفاء كييف منذ الحرب في أوكرانيا.
وحدث الهجوم الرقمي على المختبرات الأميركية في الوقت الذي دخل فيه خبراء الأمم المتحدة الأراضي الأوكرانية التي تسيطر عليها روسيا لتفقد أكبر محطة للطاقة الذرية في أوروبا وتقييم احتمالات ما قال الجانبان إنه قد يصبح كارثة إشعاعية مدمرة في ظل قصف شديد في مكان قريب من المحطة.
وظهر فريق كولد ريفر لأول مرة تحت مجهر خبراء الاستخبارات بعد استهدافه لوزارة الخارجية البريطانية عام 2016. وتورط الفريق في عشرات من حوادث القرصنة البارزة الأخرى في السنوات القليلة الماضية، وفقا لمقابلات مع تسع من شركات الأمن الإلكتروني.
وقال آدم ماير، النائب البارز لرئيس الاستخبارات في شركة الأمن الإلكتروني الأميركية (كراودسترايك) إن “هذه واحدة من أهم مجموعات القرصنة التي لم تكن معروفة من قبل… إنهم ضالعون بشكل مباشر في دعم عمليات المعلومات في الكرملين“.
وامتنعت وكالة الأمن القومي الأميركية عن التعليق على أنشطة كولد ريفر، ولم تعلق نظيرتها البريطانية “مكاتب الاتصالات الحكومية البريطانية”. ورفضت وزارة الخارجية البريطانية التعليق، كما أوردت رويترز.
جمع معلومات المخابرات
في مايو، اخترق فريق كولد ريفر البريد الإلكتروني الخاص بالرئيس السابق لجهاز المخابرات البريطاني (إم.آي.6) وقام بتسريب رسائل فيه. وكانت تلك مجرد واحدة من عدة عمليات “اختراق وتسريب” نفذها قراصنة مرتبطون بروسيا في العام الماضي، حولوا خلالها اتصالات سرية في بريطانيا وبولندا ولاتفيا إلى مادة منشورة على الملأ، وفقا لخبراء في مجال الأمن الإلكتروني ومسؤولين أمنيين في شرق أوروبا.
وقالت شركة الأمن الإلكتروني الفرنسية (سيكويا.آي.أو) إنه في عملية تجسس أخرى كانت تستهدف منتقدي موسكو، سجل كولد ريفر أسماء نطاقات بغرض محاكاة ثلاث منظمات أوروبية غير حكومية على الأقل تحقق في جرائم الحرب.
وحدثت محاولات القرصنة المتعلقة بالمنظمات غير الحكومية قبل وبعد نشر تقرير لجنة تحقيق مستقلة تابعة للأمم المتحدة في 18 أكتوبر والذي خلص إلى أن القوات الروسية مسؤولة عن “الغالبية الساحقة” من انتهاكات حقوق الإنسان في الأسابيع الأولى من حرب أوكرانيا.
وكتبت شركة (سيكويا.آي.أو) في تدوينة إن فريق كولد ريفر كان يسعى، من خلال استهدافه للمنظمات غير الحكومية، إلى المساهمة في “المعلومات الاستخباراتية الروسية حول الأدلة المحددة المتعلقة بجرائم الحرب أو إجراءات العدالة الدولية أو بهما معا”.
وقالت لجنة العدالة والمساءلة الدولية، وهي منظمة غير هادفة للربح أسسها محقق مخضرم في جرائم الحرب، إن قراصنة مدعومين من روسيا استهدفوها مرات كثيرة في السنوات الثماني الماضية دون أن تكلل مساعيهم بالنجاح. ولم ترد المنظمتان غير الحكوميتين الأخريين وهما المركز الدولي للصراعات غير العنيفة ومركز الحوار الإنساني على طلبات التعليق.
وقال باحثون أمنيون لرويترز إن كولد ريفر استخدمت حيلا مثل خداع الأشخاص لإدخال أسماء مستخدمين وكلمات مرورهم على مواقع إنترنت مزيفة للوصول إلى أنظمة الكمبيوتر الخاصة بهم.
وقال باحثون في الأمن الرقمي إن فريق كولد ريفر لكي يقوم بذلك استخدم مجموعة متنوعة من حسابات البريد الإلكتروني لتسجيل أسماء نطاقات مثل (جو-لينك.أونلاين) و(أونلاين365-أوفيس.كوم)التي تبدو للوهلة الأولى مشابهة للخدمات المشروعة التي تقدمها شركتا جوجل ومايكروسوفت.
علاقات عميقة مع روسيا
وبحسب رويترز، زلت أقدام فريق كولد ريفر بضع مرات في السنوات القليلة الماضية مما مكن محللي الأمن الرقمي من تحديد موقعهم بدقة وهوية أحد أعضاء الفريق، مما قدم أوضح مؤشر حتى الآن على الأصل الروسي للمجموعة، وفقا لخبراء من شركة الإنترنت العملاقة جوجل والمتعاقد الدفاعي البريطاني (بي.أيه.إي) وشركة الاستخبارات الأميركية (نيسوس).
وتنتمي عناوين البريد الإلكتروني الشخصية المتعددة التي استخدمت في القيام بمهام كولد ريفر إلى أندريه كورينتس، وهو يعمل في مجال تكنولوجيا المعلومات وكمال أجسام يبلغ من العمر 35 عاما في مدينة سيكتيفكار التي تبعد نحو 1600 كليومتر شمال شرقي موسكو. وترك استخدام هذه الحسابات سلسلة من الأدلة الرقمية على الاختراقات المختلفة على مدى حياة كورينتس على الإنترنت، بما في ذلك حسابات مواقع التواصل الاجتماعي والمواقع الشخصية.
وقال بيلي ليونارد وهو مهندس أمني في مجموعة تحليل التهديدات التابعة لجوجل والذي يحقق في قرصنة الدول، إن كورينتس ضالع في القرصنة. وأضاف “جوجل ربطت بين هذا الشخص ومجموعة القرصنة الروسية كولد ريفر وعملياتها المبكرة“.
وقال فينكس سيزكيناس، الباحث الأمني في شركة (نيسوس)الذي ربط أيضا بين عناوين البريد الإلكتروني الخاصة بكورينتس وبين نشاط كولد ريفر، إن الشخص الذي يعمل في تكنولوجيا المعلومات “شخصية مركزية” فيما يبدو في مجتمع القرصنة في سيكتيفكار.
وأكد كورينتس أنه يمتلك حسابات البريد الإلكتروني ذات الصلة في مقابلة مع رويترز، لكنه نفى أي معرفة بفريق كولد ريفر. وقال إن تجربته الوحيدة في القرصنة كانت قبل سنوات حين فرضت عليه محكمة روسية غرامة بسبب جريمة كمبيوتر ارتكبت خلال نزاع تجاري مع عميل سابق.
وتمكنت رويترز بشكل منفصل من تأكيد علاقة كورينتس بفريق كولد ريفر باستخدام البيانات التي تم تجميعها من خلال منصتي أبحاث الأمن الرقمي (كونستيلا انتليجانس) و(دومينتولز). وتساعد البيانات في تحديد أصحاب المواقع الإلكترونية. وأظهرت البيانات أن عناوين البريد الإلكتروني لكورينتس سجلت مواقع إلكترونية استخدمها فريق كولد ريفر في حملات القرصنة بين عامي 2015 و2020.
ولم يتضخ مدى ضلوع كورينتس في عمليات القرصنة منذ عام 2020. ولم يقدم كورينتس أي تفسير يوضح أسباب استخدام عناوين البريد الإلكتروني تلك ولم يرد على مكالمات هاتفية وأسئلة أخرى عبر البريد الإلكتروني.