Par Sedighe Shahrokhi
Les opérations de cyber-espionnage du régime de Téhéran ont, une fois de plus, été révélées au grand jour par deux fuites publiées par l'intermédiaire de Telegram et du site Dark Web. L'authenticité a été confirmée par des chercheurs de ClearSky Security et de Minerva Labs.
Ces dernières fuites sont survenues peu de temps après qu'une source a révélé le mois dernier le code source de plusieurs souches de logiciels malveillants liées au groupe de cyber-espionnage APT34 (Oilrig) géré par le régime des mollahs. L’individu, qui utilisait le pseudonyme Lab Dookhtegam, a publié cette information sur Telegram et un groupe appelé les Green Leakers en a pris la responsabilité. L'authenticité de cette fuite a été confirmée par plusieurs sociétés de cybersécurité, dont Chronicle, FireEye et Palo Alto Networks.
Cependant, les dernières fuites sont différentes parce qu'elles ne contiennent pas le code source des logiciels malveillants ou des outils libres, mais plutôt des images du code source d'origine inconnue, des backends de serveurs de commande et de contrôle, et des listes des victimes de piratage antérieures.
Malgré les différences évidentes, nombreux sont ceux qui pensent qu'il y a une campagne pour dénoncer les opérations de piratage de Téhéran, peut-être dans l'espoir que les retombées politiques porteront préjudice aux relations de l'Iran avec d'autres pays et que les entreprises pourraient repenser leurs investissements en Iran.
Les Green Leakers exploitent deux chaînes Telegram et deux différents portails du Dark Web où ils vendent des données qu'ils disent provenir d'un groupe de pirates iraniens, MuddyWater APT. (APT est un acronyme pour menace persistante avancée, un terme utilisé pour décrire les groupes de pirates informatiques soutenus par le gouvernement.) Ils n'ont rien posté de nouveau depuis quelques jours maintenant.
Il y a une autre fuite de cyber-opérations de Téhéran, qui dure depuis plus d'une semaine sur un site Web et une chaîne Telegram persans. Ici, les fuites ont divulgué de petits fragments d'informations provenant de documents « secrets » créés par le ministère iranien du Renseignement (VEVAK), qui révèlent que le régime a engagé l'Institut Rana comme entrepreneur pour des opérations de cyber-espionnage. Cela a été confirmé par ClearSky Security.
ClearSky a écrit dans un rapport : « Ces documents contiennent des listes de victimes, des stratégies de cyber-attaque, des zones d'accès présumées, une liste d'employés et des captures d'écran de sites Web internes relatifs aux systèmes d'espionnage. Les documents font la lumière sur certains aspects de l'activité du groupe, notamment : l’espionnage des Iraniens en Iran et à l'extérieur de l'Iran, et les membres du groupe. »
Il s'agit d'une source d'information importante pour un groupe dont les activités n'ont jamais été repérées, bien qu'il soit actif depuis 2015. Les pirates de Rana ont été invités à développer des logiciels malveillants capables d'endommager le contrôle industriel SCADA, d'après les documents divulgués, mais ClearSky a déclaré que le projet était « infructueux... malgré un budget collosal engagé ».
Aucun commentaire:
Enregistrer un commentaire