俄罗斯有一句名言“哪怕俄罗斯被炸成废墟，只要莫斯科大学数学系还在，俄罗斯就会重新崛起。”可以说，俄罗斯黑客技术这么厉害，这与俄罗斯人的计算机水平关系很大

根据五名网络安全专家查看的互联网记录，2022年夏天，一个名为Cold River（冷河）的俄罗斯黑客团队将美国的三个核研究实验室作为目标。

8 月至 9 月期间，当俄罗斯总统弗拉基米尔·普京表明俄罗斯愿意使用核武器保卫其领土时，Cold River黑客团队将目标对准了布鲁克海文、阿贡和劳伦斯利弗莫尔国家实验室，互联网记录显示，黑客为每个实验室创建了虚假的登录页面机构并通过电子邮件向核科学家发送电子邮件，以迫使他们透露密码。

12 月 19 日拍摄的这张插图中可以看到俄罗斯黑客地下通讯。调查发现俄罗斯黑客针对美国的几位核科学家

暂时无法确定为什么这些实验室成为目标，或者是否有任何入侵企图成功，布鲁克海文核科学实验室发言人拒绝置评，劳伦斯利弗莫尔国家实验室没有回应置评请求，阿贡核科学实验室发言人将问题转给了美国能源部，后者拒绝置评。

据网络安全研究人员和西方政府官员称，自俄罗斯乌克兰战争爆发以来，Cold River黑客团队已经升级了针对基辅盟友的黑客攻击活动。针对美国实验室的数字闪电战发生之际，联合国专家进入俄罗斯控制的乌克兰领土，检查欧洲最大的原子能发电厂，并评估双方所说的在附近猛烈炮击下可能发生毁灭性辐射灾难的风险。

根据对九家网络安全公司的采访，Cold River黑客团队在 2016 年以英国外交部为目标后首次出目前情报专业人士的视线中，近年来还参与了数十起其他备受瞩目的黑客事件。路透社追踪其在 2015 年至 2020 年间的黑客行动中使用的电子邮件账户是俄罗斯城市 Syktyvkar 的一名 IT 员工。

“This is one of the most important hacking groups you’ve never heard of,” said Adam Meyers, senior vice president of intelligence at U.S. cybersecurity firm CrowdStrike. “They are involved in directly supporting Kremlin information operations.”

“这是你从未听说过的最重大的黑客组织之一，”美国网络安全公司 CrowdStrike 的高级情报副总裁亚当迈耶斯说。“他们参与直接支持克里姆林宫的信息运作。”

俄罗斯联邦安全局，也为莫斯科开展间谍活动的国内安全机构以及俄罗斯驻华盛顿大使馆均未回复通过电子邮件发送的置评请求。

西方官员表明，俄罗斯政府在黑客攻击方面处于全球领先地位，并利用网络间谍活动监视外国政府和行业，以寻求竞争优势。不过，莫斯科一直否认它进行了黑客行动。

美国调查机构向五位行业专家展示了其调查结果，他们根据研究人员历来与该组织相关联的共享数字指纹，证实了Cold River黑客团队参与了未遂的核实验室黑客攻击。

美国国家安全局拒绝对Cold River黑客团队的活动发表评论，英国全球通信总部没有发表评论。

情报收集

5 月，Cold River黑客团队侵入并泄露了属于英国军情六处间谍部门前负责人的电子邮件。据网络安全专家和东欧安全官员称，这只是与俄罗斯有关联的黑客去年在英国、波兰和拉脱维亚公开的几起“黑客和泄密”行动之一。

据法国网络安全公司 SEKOIA.IO 称，在最近另一项针对莫斯科批评者的间谍活动中，Cold River黑客团队注册了旨在模仿至少三个调查战争罪的欧洲非政府组织的域名。

与非政府组织相关的黑客攻击发生在 10 月 18 日联合国独立调查委员会发布报告前后，该报告发现俄罗斯军队应对乌克兰战争最初几周的“绝大多数”行为负责，俄罗斯称之为特殊军事行动。

SEKOIA.IO在一篇博文中表明，基于非政府组织的目标，Cold River黑客团队正在寻求为“俄罗斯收集有关已确定的战争罪相关证据和/或国际司法程序的情报”做出贡献。目前无法独立证实Cold River黑客团队为何针对这些非政府组织。

国际正义与问责委员会是一家由资深战争罪调查员创立的非营利组织，该委员会表明，在过去八年中，俄罗斯支持的黑客多次将其作为目标，但均未成功。另外两个非政府组织，国际非暴力冲突中心和人道主义对话中心，没有回应置评请求。

俄罗斯驻华盛顿大使馆没有回复黑客企图发表评论的请求。

安全研究人员告知路透社，Cold River黑客团队采用了一些策略，例如诱骗人们在虚假网站上输入用户名和密码以访问他们的计算机系统。为此，Cold River黑客团队使用了多种电子邮件帐户来注册域名，例如“goo-link[.]online”和“online365-office[.]com”，这些域名乍一看与公司运营的合法服务类似安全研究人员说，就像谷歌和微软一样。

与俄罗斯的深厚联系

据互联网巨头谷歌、英国国防承包商BAE和美国情报公司 Nisos调查，用于设置Cold River黑客团队任务的多个个人电子邮件地址属于Andrey Korinets，他是俄罗斯35 岁的 IT 工作者和健美运动员，居住在莫斯科东北约 1000 英里的 Syktyvkar。这些帐户的使用留下了来自不同黑客的数字证据痕迹，可以追溯到Korinets的在线生活，包括社交媒体帐户和个人网站。

调查国家黑客攻击的谷歌威胁分析小组的安全工程师比利伦纳德说，Korinets参与其中。“谷歌已将此人与俄罗斯黑客组织Cold River及其早期行动联系起来，”他说。

Nisos 的安全研究员 Vincas Ciziunas 也将 Korinets 的电子邮件地址与Cold River黑客团队活动联系起来，他表明，从历史上看，这名 IT 工作者似乎是Syktyvkar黑客社区的“核心人物”。Ciziunas发现了一系列俄语互联网论坛，包括 Korinets 讨论黑客攻击的电子杂志。

Korinets在接受采访时证实他拥有相关的电子邮件帐户，但他否认对Cold River黑客团队有任何了解，他说他唯一的黑客经历是几年前，当时他因在与前客户的商业纠纷中犯下计算机犯罪而被俄罗斯法院罚款。

调查人员能够通过网络安全研究平台Constella Intelligence和DomainTools收集的数据分别确认Korinets与Cold River黑客团队的链接，这些数据有助于识别网站所有者：数据显示Korinets的电子邮件地址注册了Cold River黑客团队活动中使用的众多网站2015 年至 2020 年之间。

目前尚不清楚 Korinets自 2020年以来是否参与了Cold River黑客团队行动。他没有解释为什么使用这些电子邮件地址，也没有回复进一步的电话和电子邮件问题。