Google обяви, че е идентифицирал нов вид зловреден софтуер, наречен „LOSTKEYS“, който се свързва с руската хакерска група Cold River — известна с атаките си срещу високопоставени цели в Запада и подозирана за връзки с руската Федерална служба за сигурност (ФСБ).

Откритието е публикувано в блог от Google Threat Intelligence Group (GTIG) и показва как Cold River продължава да усъвършенства своите тактики за шпионаж. Новият зловреден софтуер позволява кражба на файлове и системна информация от компрометирани устройства, което значително увеличава ефективността на групата при разузнавателни операции.

Cold River, позната още като Callisto Group или Seaborgium, е активна и през 2025 г., като последните кампании през януари, март и април са били насочени към:

• Настоящи и бивши съветници на западни правителства и военни;
• Журналисти;
• Изследователски центрове и мозъчни тръстове;
• Неправителствени организации;
• Лица с връзки с Украйна.

Тези действия, според експертите от GTIG, обслужват стратегическите интереси на Русия.

През 2022 г. Cold River беше замесена в атаки срещу три американски ядрени изследователски лаборатории, както и в операция, при която бяха публикувани лични имейли на бившия шеф на MI6 Ричард Дирлав и други известни про-Brexit фигури — част от по-широка кампания за дезинформация в Обединеното кралство.

Изображение: Freepik

Констатациите са първите публично достъпни доказателства в подкрепа на твърденията на Съединените щати, че Русия е организирала хак, който компрометира редица чувствителни федерални агенции и е сред най-амбициозните кибер операции, разкривани някога.

Москва многократно отрече обвиненията, а от ФСБ не отговорят на искането за коментар.

Костин Райу, ръководител на глобални изследвания и анализи в Kaspersky, е на мнение, че има три различни прилики между случилото се със SolarWinds и хакерския инструмент, наречен „Kazuar“, който се използва от Turla.

Приликите включват начина, по който и двата зловредни софтуера се опитват да скрият функциите си от анализаторите на сигурността, как хакерите идентифицират жертвите си и формулата, използвана за изчисляване на периоди, когато вирусите са в латентно състояние, за да избегнат откриването.

“Една такава констатация може да бъде отхвърлена”, каза Райу. “Две неща определено ме карат да повдигам вежда. Три е повече от съвпадение.“

Увереното приписване на отговорност на кибератаки е изключително трудно и обсипано с възможни клопки. Когато руските хакери нарушиха церемонията по откриването на зимните олимпийски игри през 2018 г., те умишлено имитираха севернокорейска група, за да се опитат да отклонят вината, съобщават от Reuters.

Райу казва, че разкритите от неговия екип цифрови улики не намесват пряко “Turla”, но показват, че има все още нерешена връзка между двата хакерски инструмента.

Екипите за сигурност в САЩ и други страни все още работят, за да определят пълния обхват на хакерството на SolarWinds. Разследващите заявиха, че може да отнеме месеци, за да се разбере мащабът на компрометирането и дори повече време, за да се изгонят хакерите от мрежите на жертвите.

Американските разузнавателни агенции заявиха, че хакерите са “вероятно руски по произход” и са насочени към малък брой високопоставени жертви като част от операция за събиране на разузнавателна информация.