Exclusif - Des hackers russes ont ciblé des scientifiques nucléaires américains

Le 06 janvier 2023 à 15:47

Une équipe de pirates russes connue sous le nom de Cold River a ciblé trois laboratoires de recherche nucléaire aux États-Unis l'été dernier, selon des documents Internet examinés par Reuters et cinq experts en cybersécurité.

Entre août et septembre, alors que le président Vladimir Poutine indiquait que la Russie serait prête à utiliser des armes nucléaires pour défendre son territoire, Cold River a ciblé les laboratoires nationaux Brookhaven (BNL), Argonne (ANL) et Lawrence Livermore (LLNL), selon des enregistrements Internet montrant que les pirates ont créé de fausses pages de connexion pour chaque institution et ont envoyé des courriels aux scientifiques nucléaires pour les inciter à révéler leurs mots de passe.

Reuters n'a pas été en mesure de déterminer pourquoi les laboratoires ont été ciblés ou si une tentative d'intrusion a réussi. Un porte-parole de BNL s'est refusé à tout commentaire. Le LLNL n'a pas répondu à une demande de commentaire. Un porte-parole d'ANL a renvoyé les questions au ministère américain de l'Énergie, qui s'est refusé à tout commentaire.

Selon des chercheurs en cybersécurité et des responsables de gouvernements occidentaux, Cold River a intensifié sa campagne de piratage contre les alliés de Kiev depuis l'invasion de l'Ukraine. Le blitz numérique contre les laboratoires américains s'est produit alors que des experts de l'ONU entraient en territoire ukrainien sous contrôle russe pour inspecter la plus grande centrale atomique d'Europe et évaluer le risque de ce qui, selon les deux parties, pourrait être une catastrophe radiologique dévastatrice, dans un contexte de bombardements intensifs à proximité.

Cold River, qui est apparu pour la première fois sur le radar des professionnels du renseignement après avoir ciblé le bureau des affaires étrangères de la Grande-Bretagne en 2016, a été impliqué dans des dizaines d'autres incidents de piratage très médiatisés ces dernières années, selon des entretiens avec neuf entreprises de cybersécurité. Reuters a retracé les comptes de messagerie utilisés dans ses opérations de piratage entre 2015 et 2020 jusqu'à un travailleur informatique de la ville russe de Syktyvkar.

"Il s'agit de l'un des groupes de piratage les plus importants dont vous n'avez jamais entendu parler", a déclaré Adam Meyer, vice-président senior du renseignement de la société américaine de cybersécurité CrowdStrike. "Ils sont impliqués dans le soutien direct des opérations d'information du Kremlin".

Le Service fédéral de sécurité (FSB) de la Russie, l'agence de sécurité intérieure qui mène également des campagnes d'espionnage pour Moscou, et l'ambassade de Russie à Washington n'ont pas répondu aux demandes de commentaires envoyées par courriel.

Les responsables occidentaux affirment que le gouvernement russe est un leader mondial en matière de piratage informatique et qu'il utilise le cyber-espionnage pour espionner les gouvernements et industries étrangers afin de rechercher un avantage concurrentiel. Cependant, Moscou a toujours nié qu'il menait des opérations de piratage.

Reuters a montré ses conclusions à cinq experts de l'industrie qui ont confirmé l'implication de Cold River dans les tentatives de piratage des laboratoires nucléaires, sur la base d'empreintes numériques partagées que les chercheurs ont historiquement liées au groupe.

L'Agence nationale de sécurité des États-Unis (NSA) a refusé de commenter les activités de Cold River. Le Global Communications Headquarters (GCHQ) de Grande-Bretagne, son équivalent de la NSA, n'a pas fait de commentaire. Le ministère des Affaires étrangères s'est refusé à tout commentaire.

COLLECTE DE RENSEIGNEMENTS

En mai, Cold River a pénétré et divulgué des courriels appartenant à l'ancien chef du service d'espionnage britannique MI6. Selon des experts en cybersécurité et des responsables de la sécurité en Europe de l'Est, il s'agissait de l'une des nombreuses opérations de "piratage et de fuite" menées l'année dernière par des pirates liés à la Russie, au cours desquelles des communications confidentielles ont été rendues publiques en Grande-Bretagne, en Pologne et en Lettonie.

Dans une autre opération d'espionnage récente visant les critiques de Moscou, Cold River a enregistré des noms de domaine conçus pour imiter au moins trois ONG européennes enquêtant sur des crimes de guerre, selon la société française de cybersécurité SEKOIA.IO.

Les tentatives de piratage liées aux ONG ont eu lieu juste avant et après le lancement, le 18 octobre, d'un rapport d'une commission d'enquête indépendante de l'ONU qui a conclu que les forces russes étaient responsables de la "grande majorité" des violations des droits de l'homme au cours des premières semaines de la guerre en Ukraine, que la Russie a qualifiée d'opération militaire spéciale.

Dans un billet de blog, SEKOIA.IO a déclaré que, sur la base de son ciblage des ONG, Cold River cherchait à contribuer à "la collecte de renseignements russes sur des preuves identifiées liées à des crimes de guerre et/ou des procédures de justice internationale." Reuters n'a pas été en mesure de confirmer de manière indépendante pourquoi Cold River a ciblé les ONG.

La Commission for International Justice and Accountability (CIJA), une organisation à but non lucratif fondée par un ancien enquêteur sur les crimes de guerre, a déclaré avoir été ciblée à plusieurs reprises par des pirates informatiques soutenus par la Russie au cours des huit dernières années, sans succès. Les deux autres ONG, l'International Center of Nonviolent Conflict et le Centre for Humanitarian Dialogue, n'ont pas répondu aux demandes de commentaires.

L'ambassade de Russie à Washington n'a pas répondu à une demande de commentaire sur la tentative de piratage contre le CIJA.

Cold River a utilisé des tactiques telles que l'incitation des gens à saisir leurs noms d'utilisateur et leurs mots de passe sur de faux sites Web afin d'accéder à leurs systèmes informatiques, ont déclaré des chercheurs en sécurité à Reuters. Pour ce faire, Cold River a utilisé une variété de comptes de messagerie pour enregistrer des noms de domaine tels que "goo-link[.]online" et "online365-office[.]com" qui, à première vue, ressemblent à des services légitimes exploités par des entreprises comme Google et Microsoft, ont déclaré les chercheurs en sécurité.

DES LIENS PROFONDS AVEC LA RUSSIE Cold River a fait plusieurs faux pas ces dernières années, ce qui a permis aux analystes en cybersécurité de localiser et d'identifier exactement l'un de ses membres, fournissant ainsi l'indication la plus claire à ce jour de l'origine russe du groupe, selon des experts du géant de l'Internet Google, de l'entreprise de défense britannique BAE et de la société de renseignement américaine Nisos.

Plusieurs adresses électroniques personnelles utilisées pour mettre en place les missions de Cold River appartiennent à Andrey Korinets, un travailleur en informatique et culturiste de 35 ans de Syktyvkar, à environ 1 600 km (1 000 miles) au nord-est de Moscou. L'utilisation de ces comptes a laissé une trace de preuves numériques provenant de différents hacks et remontant jusqu'à la vie en ligne de Korinets, notamment ses comptes de médias sociaux et ses sites Web personnels.

Billy Leonard, ingénieur en sécurité au sein du groupe d'analyse des menaces de Google, qui enquête sur le piratage des États-nations, a déclaré que Korinets était impliqué. "Google a lié cet individu au groupe de piratage russe Cold River et à ses premières opérations", a-t-il déclaré.

Vincas Ciziunas, un chercheur en sécurité chez Nisos qui a également relié les adresses e-mail de Korinets à l'activité de Cold River, a déclaré que le travailleur informatique semblait être une "figure centrale" dans la communauté de piratage Syktyvkar, historiquement. Ciziunas a découvert une série de forums Internet en langue russe, dont un eZine, où Korinets avait discuté de piratage, et a partagé ces messages avec Reuters.

Korinets a confirmé qu'il possédait les comptes de messagerie concernés dans une interview avec Reuters, mais il a nié toute connaissance de Cold River. Il a déclaré que sa seule expérience en matière de piratage informatique remonte à plusieurs années, lorsqu'il a été condamné à une amende par un tribunal russe pour un crime informatique commis lors d'un différend commercial avec un ancien client.

Reuters a pu confirmer séparément les liens de Korinets avec Cold River en utilisant des données compilées par les plateformes de recherche en cybersécurité Constella Intelligence et DomainTools, qui aident à identifier les propriétaires de sites Web : les données ont montré que les adresses électroniques de Korinets ont enregistré de nombreux sites Web utilisés dans les campagnes de piratage de Cold River entre 2015 et 2020.

On ne sait pas si Korinets a été impliqué dans des opérations de piratage depuis 2020. Il n'a proposé aucune explication sur la raison de l'utilisation de ces adresses e-mail et n'a pas répondu à d'autres appels téléphoniques et questions par e-mail.

Accéder à l'article original.
Avertissement légal

Ajouter à une liste Ajouter à une liste 0 sélectionné Pour utiliser cette fonction vous devez être client ou membre Connexion Inscription	Cours	Varia.	Varia. 5j.	Capi.
MICROSOFT CORPORATION	411,8 USD	-0,66 %	-2,70 %	3 060 Md
ALPHABET INC.	155,5 USD	+0,69 %	-0,43 %	1 941 Md
DOLLAR AMÉRICAIN / RUSSIAN ROUBLE	94,24 RUB	+0,19 %	+1,01 %	-

Ajouter à une liste

Cours

Varia.

Varia. 5j.

Capi.

MICROSOFT CORPORATION