Aux États-Unis, le laboratoire national d’Argonne (Argonne National Laboratory), de Brookhaven (Brookhaven National Laboratory) et de Lawrence Livermore (Lawrence Livermore National Laboratory) ont été la cible l’été dernier d’attaques fomentées par un groupe de hackers russes.
Ces trois laboratoires dépendent du département de l’Énergie des États-Unis. Ils œuvrent dans le domaine de la recherche pour l’utilisation de l’énergie nucléaire, la physique nucléaire et la création d’armes nucléaires.
Selon une information de Reuters corroborée par des experts en cybersécurité, le groupe Cold River avait créé de fausses pages de connexion pour chaque laboratoire et avait envoyé des emails de phishing à des scientifiques, afin de les inciter à divulguer leurs mots de passe.
Des intrusions réussies ?
Les raisons pour lesquelles ces laboratoires de recherche nucléaire ont été ciblés ne sont pas connues, ni si les tentatives de Cold River ont été couronnées de succès. Reuters souligne en tout cas le contexte et fait bien évidemment allusion à la guerre menée par la Russie en Ukraine, ainsi que les menaces du président russe Vladimir Poutine d’une utilisation d’armes nucléaires.
Des experts de l’ONU avaient en outre été envoyés afin d’inspecter la centrale nucléaire de Zaporijjia qui est la plus puissante d’Europe. Ayant fait l’objet de plusieurs bombardements, cette centrale nucléaire est exploitée par du personnel ukrainien et sous le contrôle des forces russes depuis mars 2022.
Un groupe russe actif depuis 2015
Actif depuis au moins 2015, le groupe Cold River (ou ColdRiver) est autrement affublé de plusieurs noms comme Calisto (ou Callisto), Seaborgium et TA446. Il prend généralement pour cible du personnel militaire, des responsables de gouvernements, des groupes de réflexion ou des journalistes.
Selon l’entreprise française de cybersécurité SEKOIA.IO, même si le groupe Cold River n’a pas été publiquement associé à un service de renseignement russe, ses opérations » s’alignent étroitement sur les intérêts stratégiques russes. «
En juillet, le Threat Analysis Group de Google a écrit que le groupe Cold River basé en Russie continuait d’envoyer des emails de phishing, avec des liens directement intégrés ou des liens vers des fichiers PDF et des sites web.