من جيمس بيرسون (LON:PSON) وكريستوفر بينج
لندن/واشنطن (رويترز) - كشفت سجلات للإنترنت فحصتها رويترز وخمسة من خبراء الأمن الإلكتروني أن فريق قرصنة روسيا يُعرف باسم (كولد ريفر) استهدف ثلاثة مختبرات للأبحاث النووية في الولايات المتحدة في الصيف الماضي.
وتوضح سجلات الإنترنت أن الفريق استهدف، بين أغسطس آب وسبتمبر أيلول، مختبرات بروكهافن وأرجون ولورانس ليفرمور الوطنية الأمريكية. وكان الرئيس فلاديمير بوتين يشير خلال تلك الفترة إلى أن روسيا مستعدة لاستخدام أسلحتها النووية للدفاع عن أراضيها.
وأظهرت السجلات أن القراصنة أنشأوا صفحات تسجيل دخول زائفة لكل مؤسسة وأرسلوا رسائل بريد إلكتروني إلى العلماء النوويين في محاولة لجعلهم يكشفون عن كلمات المرور الخاصة بهم.
ولم تتمكن رويترز من تحديد سبب لاستهداف المختبرات أو مدى نجاح أي من محاولات الاختراق. ورفض متحدث باسم مختبر بروكهافن التعليق. ولم يرد مختبر لورانس ليفرمور على طلب التعليق. وأحال متحدث باسم مختبر أرجون الأسئلة إلى وزارة الطاقة الأمريكية التي رفضت التعليق.
وقال باحثون في مجال الأمن الإلكتروني ومسؤولون حكوميون غربيون إن فريق (كولد ريفر) كثف حملة القرصنة ضد حلفاء كييف منذ غزو أوكرانيا. وحدث الهجوم الرقمي على المختبرات الأمريكية في الوقت الذي دخل فيه خبراء الأمم المتحدة الأراضي الأوكرانية التي تسيطر عليها روسيا لتفقد أكبر محطة للطاقة الذرية في أوروبا وتقييم احتمالات ما قال الجانبان إنه قد يصبح كارثة إشعاعية مدمرة في ظل قصف شديد في مكان قريب من المحطة.
وظهر فريق كولد ريفر لأول مرة تحت مجهر خبراء الاستخبارات بعد استهدافه لوزارة الخارجية البريطانية عام 2016. وتورط الفريق في عشرات من حوادث القرصنة البارزة الأخرى في السنوات القليلة الماضية، وفقا لمقابلات مع تسع من شركات الأمن الإلكتروني. وتتبعت رويترز حسابات البريد الإلكتروني المستخدمة في عمليات القرصنة بين عامي 2015 و2020 لشخص يعمل في مجال تكنولوجيا المعلومات في مدينة سيكتيفكار الروسية.
وقال آدم ماير، النائب البارز لرئيس الاستخبارات في شركة الأمن الإلكتروني الأمريكية (كراودسترايك) إن "هذه واحدة من أهم مجموعات القرصنة التي لم تكن معروفة من قبل... إنهم ضالعون بشكل مباشر في دعم عمليات المعلومات في الكرملين".
ولم يرد على طلبات التعليق بالبريد الإلكتروني كل من جهاز الأمن الاتحادي الروسي ووكالة الأمن الداخلي التي تشن أيضا حملات تجسس لصالح موسكو، كما لم ترد سفارة روسيا في واشنطن.
ويقول مسؤولون غربيون إن الحكومة الروسية تتصدر العالم في القرصنة الرقمية وتستخدم التجسس الإلكتروني لسرقة معلومات عن الحكومات والصناعات الأجنبية للحصول على ميزة تنافسية. لكن موسكو دأبت على إنكار تورطها في أنشطة القرصنة.
وعرضت رويترز النتائج التي توصلت إليها على خمسة خبراء في الصناعة وأكدوا ضلوع فريق (كولد ريفر) في محاولات اختراق المختبرات النووية، بناء على آثار رقمية مشتركة ربطها الباحثون تاريخيا بالفريق.
وامتنعت وكالة الأمن القومي الأمريكية عن التعليق على أنشطة كولد ريفر، ولم تعلق نظيرتها البريطانية "مكاتب الاتصالات الحكومية البريطانية". ورفضت وزارة الخارجية البريطانية التعليق.
* جمع معلومات المخابرات
في مايو أيار، اخترق فريق كولد ريفر البريد الإلكتروني الخاص بالرئيس السابق لجهاز المخابرات البريطاني (إم.آي.6) وقام بتسريب رسائل فيه. وكانت تلك مجرد واحدة من عدة عمليات "اختراق وتسريب" نفذها قراصنة مرتبطون بروسيا في العام الماضي، حولوا خلالها اتصالات سرية في بريطانيا وبولندا ولاتفيا إلى مادة منشورة على الملأ، وفقا لخبراء في مجال الأمن الإلكتروني ومسؤولين أمنيين في شرق أوروبا.
وقالت شركة الأمن الإلكتروني الفرنسية (سيكويا.آي.أو) إنه في عملية تجسس أخرى كانت تستهدف منتقدي موسكو، سجل كولد ريفر أسماء نطاقات بغرض محاكاة ثلاث منظمات أوروبية غير حكومية على الأقل تحقق في جرائم الحرب.
وحدثت محاولات القرصنة المتعلقة بالمنظمات غير الحكومية قبل وبعد نشر تقرير لجنة تحقيق مستقلة تابعة للأمم المتحدة في 18 أكتوبر تشرين الأول والذي خلص إلى أن القوات الروسية مسؤولة عن "الغالبية الساحقة" من انتهاكات حقوق الإنسان في الأسابيع الأولى من حرب أوكرانيا.
وكتبت شركة (سيكويا.آي.أو) في تدوينة إن فريق كولد ريفر كان يسعى، من خلال استهدافه للمنظمات غير الحكومية، إلى المساهمة في "المعلومات الاستخباراتية الروسية حول الأدلة المحددة المتعلقة بجرائم الحرب أو إجراءات العدالة الدولية أو بهما معا". ولم تتمكن رويترز من التأكد بشكل مستقل من سبب استهداف كولد ريفر للمنظمات غير الحكومية.
وقالت لجنة العدالة والمساءلة الدولية، وهي منظمة غير هادفة للربح أسسها محقق مخضرم في جرائم الحرب، إن قراصنة مدعومين من روسيا استهدفوها مرات كثيرة في السنوات الثماني الماضية دون أن تكلل مساعيهم بالنجاح. ولم ترد المنظمتان غير الحكوميتين الأخريين وهما المركز الدولي للصراعات غير العنيفة ومركز الحوار الإنساني على طلبات التعليق.
لم ترد سفارة روسيا في واشنطن على طلب للتعليق حول محاولة اختراق لجنة العدالة والمساءلة الدولية.
وقال باحثون أمنيون لرويترز إن كولد ريفر استخدمت حيلا مثل خداع الأشخاص لإدخال أسماء مستخدمين وكلمات مرورهم على مواقع إنترنت مزيفة للوصول إلى أنظمة الكمبيوتر الخاصة بهم. وقال باحثون في الأمن الرقمي إن فريق كولد ريفر لكي يقوم بذلك استخدم مجموعة متنوعة من حسابات البريد الإلكتروني لتسجيل أسماء نطاقات مثل (جو-لينك.أونلاين) و(أونلاين365-أوفيس.كوم)التي تبدو للوهلة الأولى مشابهة للخدمات المشروعة التي تقدمها شركتا جوجل (NASDAQ:GOOG) ومايكروسوفت، .
* علاقات عميقة مع روسيا
زلت أقدام فريق كولد ريفر بضع مرات في السنوات القليلة الماضية مما مكن محللي الأمن الرقمي من تحديد موقعهم بدقة وهوية أحد أعضاء الفريق، مما قدم أوضح مؤشر حتى الآن على الأصل الروسي للمجموعة، وفقا لخبراء من شركة الإنترنت العملاقة جوجل والمتعاقد الدفاعي البريطاني (بي.أيه.إي) وشركة الاستخبارات الأمريكية (نيسوس).
وتنتمي عناوين البريد الإلكتروني الشخصية المتعددة التي استخدمت في القيام بمهام كولد ريفر إلى أندريه كورينتس، وهو يعمل في مجال تكنولوجيا المعلومات وكمال الأجسام يبلغ من العمر 35 عاما في مدينة سيكتيفكار التي تبعد نحو 1600 كليومتر شمال شرقي موسكو. وترك استخدام هذه الحسابات سلسلة من الأدلة الرقمية على الاختراقات المختلفة على مدى حياة كورينتس على الإنترنت، بما في ذلك حسابات مواقع التواصل الاجتماعي والمواقع الشخصية.
وقال بيلي ليونارد وهو مهندس أمني في مجموعة تحليل التهديدات التابعة لجوجل والذي يحقق في قرصنة الدول، إن كورينتس ضالع في القرصنة. وأضاف "جوجل ربطت بين هذا الشخص ومجموعة القرصنة الروسية كولد ريفر وعملياتها المبكرة".
وقال فينكس سيزكيناس، الباحث الأمني في شركة (نيسوس)الذي ربط أيضا بين عناوين البريد الإلكتروني الخاصة بكورينتس وبين نشاط كولد ريفر، إن الشخص الذي يعمل في تكنولوجيا المعلومات "شخصية مركزية" فيما يبدو في مجتمع القرصنة في سيكتيفكار.
وأكد كورينتس أنه يمتلك حسابات البريد الإلكتروني ذات الصلة في مقابلة مع رويترز، لكنه نفى أي معرفة بفريق كولد ريفر. وقال إن تجربته الوحيدة في القرصنة كانت قبل سنوات حين فرضت عليه محكمة روسية غرامة بسبب جريمة كمبيوتر ارتكبت خلال نزاع تجاري مع عميل سابق.
وتمكنت رويترز بشكل منفصل من تأكيد علاقة كورينتس بفريق كولد ريفر باستخدام البيانات التي تم تجميعها من خلال منصتي أبحاث الأمن الرقمي (كونستيلا انتليجانس) و(دومينتولز). وتساعد البيانات في تحديد أصحاب المواقع الإلكترونية. وأظهرت البيانات أن عناوين البريد الإلكتروني لكورينتس سجلت مواقع إلكترونية استخدمها فريق كولد ريفر في حملات القرصنة بين عامي 2015 و2020.
ولم يتضخ مدى ضلوع كورينتس في عمليات القرصنة منذ عام 2020. ولم يقدم كورينتس أي تفسير يوضح أسباب استخدام عناوين البريد الإلكتروني تلك ولم يرد على مكالمات هاتفية وأسئلة أخرى عبر البريد الإلكتروني.
(إعداد محمد حرفوش للنشرة العربية - تحرير أيمن سعد مسلم)