[ad_1]
Une équipe de piratage russe connue sous le nom de Cold River a ciblé trois laboratoires de recherche nucléaire aux États-Unis l’été dernier, selon des enregistrements Internet examinés par Reuters et cinq experts en cybersécurité.
Entre août et septembre, alors que le président Vladimir Poutine indiquait que la Russie serait disposée à utiliser des armes nucléaires pour défendre son territoire, Cold River a ciblé les laboratoires nationaux de Brookhaven (BNL), Argonne (ANL) et Lawrence Livermore (LLNL), selon des enregistrements Internet qui a montré les pirates créant de fausses pages de connexion pour chaque institution et envoyant des e-mails à des scientifiques nucléaires dans le but de leur faire révéler leurs mots de passe.
Reuters n’a pas été en mesure de déterminer pourquoi les laboratoires ont été ciblés ou si une tentative d’intrusion a réussi. Un porte-parole de BNL a refusé de commenter. LLNL n’a pas répondu à une demande de commentaire. Un porte-parole de l’ANL a renvoyé les questions au département américain de l’énergie, qui a refusé de commenter.
Cold River a intensifié sa campagne de piratage contre les alliés de Kyiv depuis l’invasion de l’Ukraine, selon des chercheurs en cybersécurité et des responsables gouvernementaux occidentaux. Le blitz numérique contre les laboratoires américains s’est produit alors que des experts de l’ONU pénétraient sur le territoire ukrainien contrôlé par la Russie pour inspecter la plus grande centrale nucléaire d’Europe et évaluer le risque de ce que les deux parties ont qualifié de catastrophe radioactive dévastatrice au milieu de bombardements intensifs à proximité.
Cold River, qui est apparu pour la première fois sur le radar des professionnels du renseignement après avoir ciblé le ministère britannique des Affaires étrangères en 2016, a été impliqué dans des dizaines d’autres incidents de piratage très médiatisés ces dernières années, selon des entretiens avec neuf entreprises de cybersécurité. Reuters a retracé les comptes de messagerie utilisés dans ses opérations de piratage entre 2015 et 2020 jusqu’à un informaticien de la ville russe de Syktyvkar.
« C’est l’un des groupes de piratage les plus importants dont vous n’avez jamais entendu parler », a déclaré Adam Meyers, vice-président senior du renseignement de la société américaine de cybersécurité CrowdStrike. « Ils sont impliqués dans le soutien direct des opérations d’information du Kremlin. »
Le Service fédéral de sécurité (FSB) de Russie, l’agence de sécurité intérieure qui mène également des campagnes d’espionnage pour Moscou, et l’ambassade de Russie à Washington n’ont pas répondu aux demandes de commentaires envoyées par courrier électronique.
Les responsables occidentaux affirment que le gouvernement russe est un leader mondial du piratage et utilise le cyberespionnage pour espionner les gouvernements et les industries étrangers afin de rechercher un avantage concurrentiel. Cependant, Moscou a toujours nié avoir mené des opérations de piratage.
Reuters a montré ses conclusions à cinq experts de l’industrie qui ont confirmé l’implication de Cold River dans les tentatives de piratage des laboratoires nucléaires, sur la base des empreintes digitales partagées que les chercheurs ont historiquement liées au groupe.
La National Security Agency (NSA) des États-Unis a refusé de commenter les activités de Cold River. Le siège britannique des communications mondiales (GCHQ), son équivalent de la NSA, n’a fait aucun commentaire. Le ministère des Affaires étrangères a refusé de commenter.
« Collection de renseignements »
En mai, Cold River est entré par effraction et a divulgué des courriels appartenant à l’ancien chef du service d’espionnage MI6 britannique. Selon des experts en cybersécurité et des responsables de la sécurité d’Europe de l’Est, ce n’était qu’une des nombreuses opérations de « piratage et fuite » de l’année dernière par des pirates liés à la Russie dans lesquelles des communications confidentielles ont été rendues publiques en Grande-Bretagne, en Pologne et en Lettonie.
Dans une autre opération d’espionnage récente ciblant les détracteurs de Moscou, Cold River a enregistré des noms de domaine conçus pour imiter au moins trois ONG européennes enquêtant sur des crimes de guerre, selon la société française de cybersécurité SEKOIA.IO.
Les tentatives de piratage liées aux ONG se sont produites juste avant et après le lancement, le 18 octobre, d’un rapport d’une commission d’enquête indépendante de l’ONU qui a conclu que les forces russes étaient responsables de la « grande majorité » des violations des droits de l’homme au cours des premières semaines de la guerre en Ukraine, que la Russie a qualifiée d’opération militaire spéciale.
Dans un article de blog, SEKOIA.IO a déclaré que, sur la base de son ciblage des ONG, Cold River cherchait à contribuer à « la collecte de renseignements russes sur les preuves identifiées liées aux crimes de guerre et/ou les procédures judiciaires internationales ». Reuters n’a pas été en mesure de confirmer de manière indépendante pourquoi Cold River a ciblé les ONG.
La Commission pour la justice internationale et la responsabilité (CIJA), une organisation à but non lucratif fondée par un enquêteur chevronné sur les crimes de guerre, a déclaré qu’elle avait été ciblée à plusieurs reprises par des pirates informatiques soutenus par la Russie au cours des huit dernières années, sans succès. Les deux autres ONG, le Centre international des conflits non violents et le Centre pour le dialogue humanitaire, n’ont pas répondu aux demandes de commentaires.
L’ambassade de Russie à Washington n’a pas renvoyé de demande sollicitant des commentaires sur la tentative de piratage contre le CIJA.
Cold River a utilisé des tactiques telles que tromper les gens pour qu’ils saisissent leurs noms d’utilisateur et mots de passe sur de faux sites Web pour accéder à leurs systèmes informatiques, ont déclaré des chercheurs en sécurité à Reuters. Pour ce faire, Cold River a utilisé une variété de comptes de messagerie pour enregistrer des noms de domaine tels que « goo-link.online » et « online365-office.com » qui, en un coup d’œil, ressemblent à des services légitimes exploités par des entreprises comme Google et Microsoft. , ont déclaré les chercheurs en sécurité.
Des liens profonds avec la Russie
Cold River a commis plusieurs faux pas ces dernières années qui ont permis aux analystes de la cybersécurité de déterminer l’emplacement et l’identité exacts de l’un de ses membres, fournissant l’indication la plus claire à ce jour de l’origine russe du groupe, selon des experts du géant de l’Internet Google, de l’entrepreneur britannique de la défense BAE et société de renseignement américaine Nisos.
Plusieurs adresses e-mail personnelles utilisées pour mettre en place des missions Cold River appartiennent à Andrey Korinets, un informaticien et carrossier de 35 ans à Syktyvkar, à environ 1 600 km au nord-est de Moscou. L’utilisation de ces comptes a laissé une trace de preuves numériques provenant de différents piratages de la vie en ligne de Korinets, y compris des comptes de médias sociaux et des sites Web personnels.
Billy Leonard, ingénieur en sécurité du groupe d’analyse des menaces de Google qui enquête sur le piratage des États-nations, a déclaré que Korinets était impliqué. « Google a lié cet individu au groupe de piratage russe Cold River et à ses premières opérations », a-t-il déclaré.
Vincas Ciziunas, chercheur en sécurité chez Nisos qui a également connecté les adresses e-mail de Korinets à l’activité de Cold River, a déclaré que l’informaticien semblait être une « figure centrale » dans la communauté de piratage de Syktyvkar, historiquement. Ciziunas a découvert une série de forums Internet en russe, y compris un eZine, où Korinets avait discuté de piratage, et a partagé ces messages avec Reuters.
Korinets a confirmé qu’il possédait les comptes de messagerie concernés dans une interview avec Reuters, mais il a nié toute connaissance de Cold River. Il a déclaré que sa seule expérience de piratage remonte à des années lorsqu’il a été condamné à une amende par un tribunal russe pour un crime informatique commis lors d’un différend commercial avec un ancien client.
Reuters a pu confirmer séparément les liens de Korinets avec Cold River en utilisant des données compilées via les plateformes de recherche en cybersécurité Constella Intelligence et DomainTools, qui aident à identifier les propriétaires de sites Web : les données ont montré que les adresses e-mail de Korinets enregistraient de nombreux sites Web utilisés dans les campagnes de piratage de Cold River. entre 2015 et 2020.
On ne sait pas si Korinets a été impliqué dans des opérations de piratage depuis 2020. Il n’a donné aucune explication sur la raison pour laquelle ces adresses e-mail ont été utilisées et n’a pas répondu aux autres appels téléphoniques et questions par e-mail.
[ad_2]
Source link -42