Ces fuites qui déstabilisent des groupes d’attaquants informatiques iraniens

OWN-CERT
-
OWN Security

Ces fuites qui déstabilisent des groupes d’attaquants informatiques iraniens

Photo by Faruk Kaymak on Unsplash

Depuis le 25 mars 2019, un acteur utilisant le pseudonyme de Lab Dookhtegan a révélé des informations concernant le fonctionnement interne d’un groupe d’attaquants au service du gouvernement iranien.

Acteur auparavant inconnu de la scène internationale, Lab Dookhtegan se sert d’un canal public de Telegram pour mettre en ligne des informations sur l’infrastructure et certains outils de piratage utilisés par le mode opératoire avancé OilRig, aussi appelé APT 34 et Helix Kitten.

OilRig aurait recours à des campagnes de détournement d’enregistrements DNS et emploierait des logiciels malveillants personnalisés ainsi que du code disponible en source ouverte. Lab Dookhtegan a également publié des données détaillées concernant certaines des victimes du groupe ainsi que des informations sur ses attaquants, membres présumés du ministère du Renseignement iranien.

L’incident n’est pas sans rappeler la révélation en 2016 des outils d’espionnage employés par la NSA. Toutefois, contrairement à la fuite menée par les Shadow Brokers il y a trois ans, la divulgation des outils d’OilRig ne sera probablement pas ré-utilisée par d’autres attaquants, ceux-ci étant assez simples et spécifiques. Elle représente cependant une source d’information importante puisqu’elle permet d’en connaître davantage sur le mode opératoire et les capacités techniques du groupe.

Cette fuite, à motivation probablement politique, devrait se poursuivre dans les prochains jours et s’étendre à Muddy Water, un deuxième groupe d’attaquants à la solde de l’Iran.

Pour en savoir plus :

Partager l'article :

Your OWN cyber expert.