كشفت سجلات للإنترنت فحصتها رويترز وخمسة من خبراء الأمن الإلكتروني، أن فريق قرصنة روسيّاً يُعرف باسم (كولد ريفر)، استهدف ثلاثة مختبرات للأبحاث النووية بالولايات المتحدة في الصيف الماضي.
وأوضحت الوكالة، الجمعة 6 يناير/كانون الثاني 2023، أن المختبرات هي: بروكهافن وأرجون ولورانس ليفرمور الوطنية الأمريكية.
وأظهرت السجلات أن القراصنة أنشأوا صفحات تسجيل دخول زائفة لكل مؤسسة، وأرسلوا رسائل بريد إلكتروني إلى العلماء النوويين؛ في محاولة لجعلهم يكشفون عن كلمات المرور الخاصة بهم.
ولم تتمكن رويترز من تحديد سبب لاستهداف المختبرات أو مدى نجاح أي من محاولات الاختراق، بينما رفض متحدث باسم مختبر بروكهافن التعليق، كما لم يردّ مختبر لورانس ليفرمور على طلب التعليق.
تكثيف حملات القرصنة منذ حرب أوكرانيا
من جانبهم، قال باحثون بمجال الأمن الإلكتروني ومسؤولون حكوميون غربيون إن فريق "كولد ريفر" كثف حملة القرصنة ضد حلفاء كييف منذ غزو أوكرانيا.
وحدث الهجوم الرقمي على المختبرات الأمريكية في الوقت الذي دخل فيه خبراء الأمم المتحدة الأراضي الأوكرانية التي تسيطر عليها روسيا؛ لتفقد أكبر محطة للطاقة الذرية في أوروبا وتقييم احتمالات ما قال الجانبان إنه قد يصبح كارثة إشعاعية مدمرة، في ظل قصف شديد بمكان قريب من المحطة.
وظهر فريق كولد ريفر لأول مرة تحت مجهر خبراء الاستخبارات بعد استهدافه لوزارة الخارجية البريطانية عام 2016.
وتورط الفريق في عشرات من حوادث القرصنة البارزة الأخرى في السنوات القليلة الماضية، وفقاً لمقابلات مع تسع من شركات الأمن الإلكتروني.
وتتبعت رويترز حسابات البريد الإلكتروني المستخدمة في عمليات القرصنة بين عامي 2015 و2020 لشخص يعمل بمجال تكنولوجيا المعلومات في مدينة سيكتيفكار الروسية.
إلى ذلك، قال آدم ماير، النائب البارز لرئيس الاستخبارات في شركة الأمن الإلكتروني الأمريكية (كراودسترايك)، إن "هذه واحدة من أهم مجموعات القرصنة التي لم تكن معروفة من قبل… إنهم ضالعون بشكل مباشر في دعم عمليات المعلومات في الكرملين".
ولم يرد على طلبات التعليق بالبريد الإلكتروني كل من جهاز الأمن الاتحادي الروسي ووكالة الأمن الداخلي التي تشن أيضاً حملات تجسس لصالح موسكو، كما لم ترد سفارة روسيا في واشنطن.
توجيه اتهامات لموسكو
فيما قال مسؤولون غربيون إن الحكومة الروسية تتصدر العالم في القرصنة الرقمية، وتستخدم التجسس الإلكتروني لسرقة معلومات عن الحكومات والصناعات الأجنبية للحصول على ميزة تنافسية. لكن موسكو دأبت على إنكار تورطها في أنشطة القرصنة.
كما عرضت رويترز النتائج التي توصلت إليها، على خمسة خبراء في الصناعة، وأكدوا ضلوع فريق "كولد ريفر" في محاولات اختراق المختبرات النووية، بناءً على آثار رقمية مشتركة ربطها الباحثون تاريخياً بالفريق.
من جانبها، امتنعت وكالة الأمن القومي الأمريكية عن التعليق على أنشطة "كولد ريفر"، ولم تعلق نظيرتها البريطانية "مكاتب الاتصالات الحكومية البريطانية". ورفضت وزارة الخارجية البريطانية التعليق.
جمع معلومات المخابرات
في مايو/أيار، اخترق فريق كولد ريفر البريد الإلكتروني الخاص بالرئيس السابق لجهاز المخابرات البريطاني (إم.آي.6) وقام بتسريب رسائل فيه.
وكانت تلك مجرد واحدة من عدة عمليات "اختراق وتسريب" نفذها قراصنة مرتبطون بروسيا في العام الماضي، حوّلوا خلالها اتصالات سرية في بريطانيا وبولندا ولاتفيا إلى مادة منشورة على الملأ، وفقاً لخبراء في مجال الأمن الإلكتروني ومسؤولين أمنيين بشرق أوروبا.
حيث قالت شركة الأمن الإلكتروني الفرنسية (سيكويا.آي.أو)، إنه في عملية تجسس أخرى كانت تستهدف منتقدي موسكو، سجل "كولد ريفر" أسماء نطاقات بغرض محاكاة ثلاث منظمات أوروبية غير حكومية على الأقل تحقق في جرائم الحرب.
وحدثت محاولات القرصنة المتعلقة بالمنظمات غير الحكومية قبل وبعد نشر تقرير لجنة تحقيق مستقلة تابعة للأمم المتحدة في 18 أكتوبر/تشرين الأول والذي خلص إلى أن القوات الروسية مسؤولة عن "الغالبية الساحقة" من انتهاكات حقوق الإنسان في الأسابيع الأولى من حرب أوكرانيا.
إذ كتبت شركة "سيكويا.آي.أو" في تدوينة، أن فريق كولد ريفر كان يسعى، من خلال استهدافه للمنظمات غير الحكومية، إلى المساهمة في "المعلومات الاستخباراتية الروسية حول الأدلة المحددة المتعلقة بجرائم الحرب أو إجراءات العدالة الدولية أو بهما معاً".
ولم تتمكن رويترز من التأكد بشكل مستقل، من سبب استهداف "كولد ريفر" للمنظمات غير الحكومية.
من جهتها قالت لجنة العدالة والمساءلة الدولية، وهي منظمة غير هادفة للربح أسسها محقق مخضرم في جرائم الحرب، إن قراصنة مدعومين من روسيا استهدفوها مرات كثيرة في السنوات الثماني الماضية، دون أن تكلل مساعيهم بالنجاح.
ولم ترد المنظمتان غير الحكوميتين الأخريين- وهما المركز الدولي للصراعات غير العنيفة ومركز الحوار الإنساني- على طلبات التعليق.
كما لم ترد سفارة روسيا في واشنطن على طلب للتعليق حول محاولة اختراق لجنة العدالة والمساءلة الدولية.
حيل القراصنة
ونقلت رويترز عن باحثين أمنيين، أن "كولد ريفر" استخدمت حيلاً مثل خداع الأشخاص لإدخال أسماء مستخدمين وكلمات مرورهم على مواقع إنترنت مزيفة للوصول إلى أنظمة الكمبيوتر الخاصة بهم.
وقال باحثون في الأمن الرقمي إن فريق كولد ريفر لكي يقوم بذلك استخدم مجموعة متنوعة من حسابات البريد الإلكتروني لتسجيل أسماء نطاقات مثل (جو-لينك.أونلاين) و(أونلاين365-أوفيس.كوم) التي تبدو للوهلة الأولى مشابهة للخدمات المشروعة التي تقدمها شركتا جوجل ومايكروسوفت.
علاقات عميقة مع روسيا
زلت أقدام فريق كولد ريفر بضع مرات في السنوات القليلة الماضية، مما مكَّن محللي الأمن الرقمي من تحديد موقعهم بدقة وهوية أحد أعضاء الفريق، مما قدَّم أوضح مؤشر حتى الآن على الأصل الروسي للمجموعة، وفقاً لخبراء من شركة الإنترنت العملاقة جوجل والمتعاقد الدفاعي البريطاني (بي.إيه.إي) وشركة الاستخبارات الأمريكية (نيسوس).
وتنتمي عناوين البريد الإلكتروني الشخصية المتعددة التي استخدمت في القيام بمهام "كولد ريفر" إلى أندريه كورينتس، وهو يعمل في مجال تكنولوجيا المعلومات وكمال الأجسام يبلغ من العمر 35 عاماً في مدينة سيكتيفكار التي تبعد نحو 1600 كليومتر شمال شرقي موسكو.
وترك استخدام هذه الحسابات سلسلة من الأدلة الرقمية على الاختراقات المختلفة على مدى حياة كورينتس على الإنترنت، وضمن ذلك حسابات مواقع التواصل الاجتماعي والمواقع الشخصية.
إذ قال بيلي ليونارد وهو مهندس أمني في مجموعة تحليل التهديدات التابعة لـ"جوجل" والذي يحقق في قرصنة الدول، إن كورينتس ضالع في القرصنة. وأضاف: "جوجل ربطت بين هذا الشخص ومجموعة القرصنة الروسية كولد ريفر وعملياتها المبكرة".
فيما أوضح فينكس سيزكيناس، الباحث الأمني بشركة (نيسوس) الذي ربط أيضاً بين عناوين البريد الإلكتروني الخاصة بكورينتس ونشاط "كولد ريفر"، أن الشخص الذي يعمل في تكنولوجيا المعلومات "شخصية مركزية" فيما يبدو بمجتمع القرصنة في سيكتيفكار.
كورينتس أكد أنه يمتلك حسابات البريد الإلكتروني ذات الصلة، في مقابلة مع رويترز، لكنه نفى أي معرفة بفريق كولد ريفر. وقال إن تجربته الوحيدة في القرصنة كانت قبل سنوات حين فرضت عليه محكمة روسية غرامة بسبب جريمة كمبيوتر ارتُكبت خلال نزاع تجاري مع عميل سابق.
وتمكنت رويترز، بشكل منفصل، من تأكيد علاقة كورينتس بفريق كولد ريفر باستخدام البيانات التي تم تجميعها من خلال منصتي أبحاث الأمن الرقمي (كونستيلا انتليجانس) و(دومينتولز).
وتساعد البيانات في تحديد أصحاب المواقع الإلكترونية.
وأظهرت البيانات أن عناوين البريد الإلكتروني لكورينتس سجلت مواقع إلكترونية استخدمها فريق كولد ريفر في حملات القرصنة بين عامي 2015 و2020.
ولم يتضح مدى ضلوع كورينتس في عمليات القرصنة منذ عام 2020. ولم يقدم كورينتس أي تفسير يوضح أسباب استخدام عناوين البريد الإلكتروني تلك ولم يرد على مكالمات هاتفية وأسئلة أخرى عبر البريد الإلكتروني.