بقلم جيمس بيرسون (لون) وكريستوفر بينج
لندن / واشنطن (رويترز) – كشفت سجلات الإنترنت التي فحصتها رويترز وخمسة خبراء في الأمن السيبراني أن فريق قرصنة روسي يعرف باسم كولد ريفر استهدف ثلاثة مختبرات للأبحاث النووية في الولايات المتحدة الصيف الماضي.
تظهر سجلات الإنترنت أنه بين أغسطس وسبتمبر، استهدف الفريق المختبرات الوطنية الأمريكية بروكهافن وأرجون ولورانس ليفرمور. وأشار الرئيس فلاديمير بوتين خلال تلك الفترة إلى أن روسيا مستعدة لاستخدام أسلحتها النووية للدفاع عن أراضيها.
أظهرت السجلات أن المتسللين أنشأوا صفحات تسجيل دخول مزيفة لكل منظمة وأرسلوا رسائل بريد إلكتروني إلى العلماء النوويين في محاولة لحملهم على الكشف عن كلمات المرور الخاصة بهم.
ولم تتمكن رويترز من تحديد سبب استهداف المعامل أو مدى نجاح أي من محاولات القرصنة. ورفض متحدث باسم Brookhaven Lab التعليق. لم يستجب مختبر لورانس ليفرمور لطلب التعليق. وأحال متحدث باسم معمل أرجون الأسئلة إلى وزارة الطاقة الأمريكية التي رفضت التعليق.
قال باحثو الأمن السيبراني ومسؤولون حكوميون غربيون إن فريق كولد ريفر كثف حملة القرصنة ضد حلفاء كييف منذ غزو أوكرانيا. وقع الهجوم الرقمي على المعامل الأمريكية عندما دخل خبراء الأمم المتحدة الأراضي الأوكرانية التي تسيطر عليها روسيا لتفقد أكبر محطة للطاقة الذرية في أوروبا وتقييم احتمالات ما قال الجانبان إنه يمكن أن يصبح كارثة إشعاعية مدمرة، مع وجود قصف عنيف في مكان قريب.
دخل فريق كولد ريفر لأول مرة تحت مجهر خبراء المخابرات بعد استهداف وزارة الخارجية البريطانية في عام 2016. وقد تورط الفريق في عشرات من حوادث القرصنة البارزة الأخرى في السنوات القليلة الماضية، وفقًا لمقابلات مع تسع شركات للأمن السيبراني. تتبعت رويترز حسابات البريد الإلكتروني المستخدمة في عمليات الاختراق بين عامي 2015 و 2022 إلى شخص متخصص في تكنولوجيا المعلومات في سيكتيفكار، روسيا.
قال آدم ماير، نائب الرئيس الأول للاستخبارات في شركة الأمن السيبراني الأمريكية CrowdStrike “هذه واحدة من أهم مجموعات القرصنة التي لم تكن معروفة من قبل”. “إنهم يشاركون بشكل مباشر في دعم عمليات المعلومات في الكرملين”.
ولم يستجب جهاز الأمن الفيدرالي الروسي ووكالة الأمن الداخلي، اللتان تشنان أيضًا حملات تجسس لصالح موسكو، لطلبات التعليق عبر البريد الإلكتروني، ولا سفارة روسيا في واشنطن.
يقول المسؤولون الغربيون إن الحكومة الروسية تقود العالم في القرصنة الرقمية وتستخدم التجسس الإلكتروني لسرقة المعلومات حول الحكومات والصناعات الأجنبية لاكتساب ميزة تنافسية. لكن موسكو نفت دائمًا تورطها في أنشطة القرصنة.
قدمت رويترز نتائجها لخمسة خبراء في الصناعة أكدوا تورط فريق كولد ريفر في محاولات اختراق المختبرات النووية، بناءً على الآثار الرقمية المشتركة التي ربطها الباحثون تاريخياً بالفريق.
وامتنعت وكالة الأمن القومي الأمريكية عن التعليق على أنشطة كولد ريفر، ولم يفعل ذلك نظيرها البريطاني، مكتب الاتصالات الحكومية البريطاني. ورفضت وزارة الخارجية البريطانية التعليق.
جمع المعلومات الاستخباراتية
في مايو، اخترق فريق كولد ريفر البريد الإلكتروني للرئيس السابق لجهاز MI6 ورسائل مسربة. كانت مجرد واحدة من عدة “عمليات اختراق وتسريبات” قام بها قراصنة مرتبطون بروسيا في العام الماضي والتي حولت الاتصالات السرية في بريطانيا وبولندا ولاتفيا إلى مواد عامة، وفقًا لخبراء الأمن السيبراني ومسؤولي الأمن في أوروبا الشرقية.
قالت شركة الأمن السيبراني الفرنسية Sequoia.io إنه في عملية تجسس أخرى استهدفت منتقدي موسكو، سجلت شركة Cold River أسماء نطاقات بهدف انتحال ثلاث منظمات أوروبية غير حكومية على الأقل تحقق في جرائم الحرب.
حدثت محاولات القرصنة التي شاركت فيها المنظمات غير الحكومية قبل وبعد نشر تقرير في 18 أكتوبر / تشرين الأول من قبل لجنة تحقيق مستقلة تابعة للأمم المتحدة خلص إلى أن القوات الروسية كانت مسؤولة عن “الغالبية العظمى” من انتهاكات حقوق الإنسان في الأسابيع الأولى من أوكرانيا. حرب.
كتب Sequoia.io في إحدى المدونات أن فريق كولد ريفر، من خلال استهداف المنظمات غير الحكومية، كان يسعى إلى المساهمة في “الاستخبارات الروسية بشأن أدلة محددة تتعلق بجرائم الحرب أو عمليات العدالة الدولية، أو كليهما”. ولم يتسن لرويترز التأكد بشكل مستقل من سبب استهداف كولد ريفر للمنظمات غير الحكومية.
قالت لجنة العدالة والمساءلة الدولية، وهي منظمة غير ربحية أسسها محقق مخضرم في جرائم الحرب، إن قراصنة مدعومين من روسيا استهدفوها عدة مرات في السنوات الثماني الماضية دون نجاح. ولم تستجب المنظمتان غير الحكوميتان الأخريان، المركز الدولي للنزاع اللاعنفي ومركز الحوار الإنساني، لطلبات التعليق.
لم ترد سفارة روسيا في واشنطن على طلب للتعليق على محاولة اختراق لجنة العدالة والمحاسبة الدولية.
قال باحثون أمنيون لرويترز إن شركة كولد ريفر استخدمت حيلًا مثل خداع الأشخاص لإدخال أسماء مستخدمين وكلمات مرور على مواقع ويب مزيفة للوصول إلى أنظمة الكمبيوتر الخاصة بهم. قال باحثو الأمن الرقمي إنه من أجل القيام بذلك، استخدم فريق Cold River مجموعة متنوعة من حسابات البريد الإلكتروني لتسجيل أسماء النطاقات مثل (Go-Link.Online) و (Online365-Office.com)، والتي تبدو للوهلة الأولى مشابهة لـ الخدمات الشرعية التي تقدمها Google (Google). NASDAQ ) ومايكروسوفت.
* علاقات عميقة مع روسيا
تراجع فريق كولد ريفر عدة مرات في السنوات القليلة الماضية، مما مكّن محللي الأمن الرقمي من تحديد موقعهم بدقة وهوية أحد أعضاء الفريق، مما يوفر أوضح مؤشر حتى الآن على الأصل الروسي للمجموعة، وفقًا لخبراء من الإنترنت. عملاق Google ومقاول الدفاع البريطاني BA. .E) وشركة المخابرات الأمريكية (نيسوس).
تنتمي عناوين البريد الإلكتروني الشخصية المتعددة المستخدمة في مهام Cold River إلى Andrei Korints، وهو عامل في مجال تكنولوجيا المعلومات وكمال الأجسام يبلغ من العمر 35 عامًا في Syktyvkar، على بعد حوالي 1600 كيلومتر شمال شرق موسكو. ترك استخدام هذه الحسابات أثراً من الأدلة الرقمية على العديد من الاختراقات على حياة كورينتس على الإنترنت، بما في ذلك حسابات وسائل التواصل الاجتماعي والمواقع الشخصية.
وقال بيلي ليونارد، وهو مهندس أمني في مجموعة تحليل التهديدات التابعة لـ Google والذي يحقق في قرصنة الدولة، إن كورينتس متورط. وأضاف أن “جوجل ربطت هذا الشخص بمجموعة القرصنة الروسية كولد ريفر وعملياتها المبكرة”.
قال فينيكس سيزكيناس، الباحث الأمني في نيسوس، الذي ربط أيضًا عناوين البريد الإلكتروني الخاصة بشركة كورينتس بأنشطة كولد ريفر، يبدو أن شخص تكنولوجيا المعلومات هو “شخصية مركزية” في مجتمع القرصنة في سيكتيفكار.
وأكد كورينتس في مقابلة مع رويترز أن لديه حسابات البريد الإلكتروني ذات الصلة، لكنه نفى أي معرفة بفريق كولد ريفر. وقال إن خبرته الوحيدة في القرصنة كانت قبل سنوات عندما فرضت محكمة روسية غرامة عليه لارتكابه جريمة كمبيوتر أثناء نزاع تجاري مع عميل سابق.
تمكنت رويترز بشكل منفصل من تأكيد علاقة كورينتس بفريق كولد ريفر باستخدام البيانات التي تم جمعها من خلال منصات أبحاث الأمن الرقمي Constella Intelligence و DominoTools. تساعد البيانات في التعرف على مالكي مواقع الويب. وأظهرت البيانات أن عناوين البريد الإلكتروني لشركة Corrientes سجلت مواقع الويب التي استخدمها فريق Cold River في حملات القرصنة بين عامي 2015 و 2022.
لم يتم التحقيق في مدى تورط كورينتس في عمليات القرصنة منذ عام 2022. لم تقدم كورينتس أي تفسير لسبب استخدام عناوين البريد الإلكتروني هذه ولم ترد على المكالمات الهاتفية والأسئلة الأخرى عبر البريد الإلكتروني.
(إعداد محمد حرفوش للنشرة العربية – تحرير أيمن سعد مسلم)