LONDON/WASHINGTON: Tim peretas Rusia yang dikenal sebagai Cold River menargetkan tiga laboratorium penelitian nuklir di Amerika Serikat pada musim panas lalu, menurut catatan Internet yang ditinjau oleh Reuters dan lima pakar keamanan siber.
Antara bulan Agustus dan September, ketika Presiden Vladimir Putin mengindikasikan bahwa Rusia akan siap menggunakan senjata nuklir untuk mempertahankan wilayahnya, Cold River menargetkan Laboratorium Nasional Brookhaven (BNL), Argonne (ANL) dan Lawrence Livermore National Laboratories (LLNL), menurut catatan internet yang menunjukkan para peretas membuat halaman login palsu untuk setiap institusi dan mengirim email kepada ilmuwan nuklir dalam upaya untuk membuat mereka mengungkapkan kata sandi mereka.
Reuters tidak dapat menentukan mengapa laboratorium tersebut menjadi sasaran atau apakah upaya peretasan berhasil. Juru bicara BNL menolak berkomentar. LLNL tidak menanggapi permintaan komentar. Juru bicara ANL merujuk pertanyaan tersebut ke Departemen Energi AS, namun menolak berkomentar.
Cold River telah meningkatkan kampanye peretasannya terhadap sekutu Kyiv sejak invasi ke Ukraina, menurut peneliti keamanan siber dan pejabat pemerintah Barat. Serangan digital terhadap laboratorium AS terjadi ketika para ahli PBB memasuki wilayah Ukraina yang dikuasai Rusia untuk memeriksa pembangkit listrik tenaga nuklir terbesar di Eropa dan menilai risiko yang menurut kedua belah pihak bisa menjadi bencana radiasi yang menghancurkan di tengah penembakan besar-besaran terhadap lingkungan.
Cold River, yang pertama kali muncul dalam radar para pejabat intelijen setelah menargetkan Kementerian Luar Negeri Inggris pada tahun 2016, telah terlibat dalam lusinan insiden peretasan tingkat tinggi lainnya dalam beberapa tahun terakhir, menurut wawancara dengan sembilan perusahaan keamanan siber. Reuters menelusuri akun email yang digunakan dalam operasi peretasannya antara tahun 2015 dan 2020 hingga ke seorang pekerja IT di kota Syktyvkar, Rusia.
“Ini adalah salah satu kelompok peretas paling penting yang belum pernah Anda dengar,” kata Adam Meyer, wakil presiden senior intelijen di perusahaan keamanan siber AS, CrowdStrike. “Mereka terlibat langsung dalam mendukung operasi informasi Kremlin.”
Dinas Keamanan Federal Rusia (FSB), badan keamanan dalam negeri yang juga melakukan kampanye spionase untuk Moskow, dan kedutaan Rusia di Washington tidak menanggapi permintaan komentar melalui email.
Para pejabat Barat mengatakan pemerintah Rusia adalah pemimpin dunia dalam peretasan dan menggunakan spionase dunia maya untuk memata-matai pemerintah dan industri asing guna mencari keunggulan kompetitif. Namun, Moskow secara konsisten membantah melakukan operasi peretasan.
Reuters menunjukkan temuannya kepada lima pakar industri yang mengonfirmasi keterlibatan Cold River dalam percobaan laboratorium nuklir, berdasarkan sidik jari digital bersama yang secara historis dikaitkan dengan kelompok tersebut oleh para peneliti.
Badan Keamanan Nasional AS (NSA) menolak mengomentari aktivitas Cold River. Markas Besar Komunikasi Global Inggris (GCHQ), yang setara dengan NSA, tidak memberikan komentar. Kementerian Luar Negeri menolak berkomentar.
“PERUMAHAN KECERDASAN”
Pada bulan Mei, Cold River meretas dan membocorkan email milik mantan kepala dinas mata-mata MI6 Inggris. Itu hanyalah salah satu dari beberapa operasi “peretasan dan kebocoran” yang dilakukan peretas yang terkait dengan Rusia tahun lalu di mana komunikasi rahasia terungkap di Inggris, Polandia dan Latvia, menurut pakar keamanan siber dan pejabat keamanan Eropa Timur.
Dalam operasi spionase baru-baru ini yang menargetkan para pengkritik Moskow, Cold River mendaftarkan nama domain yang dirancang untuk meniru setidaknya tiga LSM Eropa yang menyelidiki kejahatan perang, menurut perusahaan keamanan siber Prancis SEKOIA.IO.
Upaya peretasan yang terkait dengan LSM ini terjadi tepat sebelum dan setelah peluncuran laporan komisi penyelidikan independen PBB pada tanggal 18 Oktober yang menemukan bahwa pasukan Rusia bertanggung jawab atas “sebagian besar” pelanggaran hak asasi manusia pada minggu-minggu awal perang Ukraina. yang disebut Rusia sebagai operasi militer khusus.
Dalam sebuah postingan blog, SEKOIA.IO mengatakan bahwa, berdasarkan penargetan LSM-LSM tersebut, Cold River berupaya untuk berkontribusi pada “pengumpulan intelijen Rusia mengenai bukti-bukti yang teridentifikasi terkait kejahatan perang dan/atau proses peradilan internasional”. Reuters tidak dapat mengkonfirmasi secara independen mengapa Cold River menargetkan LSM tersebut.
Komisi Keadilan dan Akuntabilitas Internasional (CIJA), sebuah organisasi nirlaba yang didirikan oleh seorang penyelidik veteran kejahatan perang, mengatakan bahwa mereka telah berulang kali menjadi sasaran peretas yang didukung Rusia selama delapan tahun terakhir tanpa hasil. Dua LSM lainnya, Pusat Internasional untuk Konflik Kekerasan dan Pusat Dialog Kemanusiaan, tidak menanggapi permintaan komentar.
Kedutaan Besar Rusia di Washington tidak membalas permintaan komentar mengenai upaya peretasan terhadap CIJA.
Cold River menggunakan taktik seperti menipu orang agar memasukkan nama pengguna dan kata sandi mereka di situs web palsu untuk mendapatkan akses ke sistem komputer mereka, kata peneliti keamanan kepada Reuters. Untuk melakukan hal ini, Cold River menggunakan berbagai akun email untuk mendaftarkan nama domain seperti “goo-link(.)online” dan “online365-office(.)com” yang sekilas terlihat mirip dengan layanan sah yang dioperasikan oleh perusahaan . seperti Google dan Microsoft, kata peneliti keamanan.
HUBUNGAN YANG DALAM DENGAN RUSIA
Cold River telah melakukan beberapa kesalahan dalam beberapa tahun terakhir yang memungkinkan analis keamanan siber untuk menentukan dengan tepat lokasi dan identitas salah satu anggotanya, memberikan indikasi paling jelas tentang asal usul kelompok tersebut dari Rusia, menurut para ahli di raksasa internet Google, kontraktor pertahanan Inggris. BAE, dan firma intelijen Amerika Nisos.
Beberapa alamat email pribadi yang digunakan untuk menyiapkan misi Cold River adalah milik Andrey Korinets, seorang pekerja IT berusia 35 tahun dan binaragawan di Syktyvkar, sekitar 1.600 km timur laut Moskow. Penggunaan akun-akun tersebut meninggalkan jejak bukti digital berbagai peretasan kehidupan online Korinets, termasuk akun media sosial dan situs pribadi.
Billy Leonard, seorang insinyur keamanan di Grup Analisis Ancaman Google yang menyelidiki peretasan, mengatakan Korinets terlibat. “Google telah menghubungkan individu ini dengan kelompok peretas Rusia Cold River dan operasi awal mereka,” katanya.
Vincas Ciziunas, peneliti keamanan di Nisos yang juga menghubungkan alamat email Korinets dengan aktivitas Cold River, mengatakan bahwa pekerja TI tersebut secara historis tampaknya menjadi “tokoh sentral” dalam komunitas peretasan Syktyvkar. Ciziunas menemukan serangkaian forum Internet berbahasa Rusia, termasuk eZine, tempat Korinets membahas peretasan, dan membagikan postingan tersebut kepada Reuters.
Korinets mengkonfirmasi dalam sebuah wawancara dengan Reuters bahwa dia adalah pemilik akun email tersebut, namun dia menyangkal mengetahui apapun tentang Cold River. Dia mengatakan satu-satunya pengalaman peretasannya terjadi beberapa tahun lalu ketika dia didenda oleh pengadilan Rusia atas kejahatan komputer yang dilakukan selama perselisihan bisnis dengan mantan kliennya.
Reuters dapat secara terpisah mengkonfirmasi tautan Korinets ke Kouerivier menggunakan data yang dikumpulkan oleh platform penelitian keamanan siber Constella Intelligence dan DomainTools, yang membantu mengidentifikasi pemilik situs web: data menunjukkan bahwa alamat email Korinets mendaftarkan banyak situs web yang digunakan dalam peretasan Cold River kampanye. antara tahun 2015 dan 2020.
Tidak jelas apakah Korinets telah terlibat dalam operasi peretasan sejak tahun 2020. Dia tidak memberikan penjelasan mengapa alamat email ini digunakan dan tidak menanggapi panggilan telepon lebih lanjut dan pertanyaan melalui email.