Un pirate informatique répondant au nom de « Read My Lips » publie depuis un mois déjà les outils d’espionnage, l’identité et les coordonnées de membres présumés appartenant à un groupe de hackers iranien soupçonné de travailler pour leur gouvernement.

Le 25 mars 2019, le hacker « Read My Lips » a ouvert un canal public sur l’application de messagerie sécurisée Telegram. Le but : publier de manière régulière des informations secrètes sur un groupe de pirates informatiques connu sous le nom de APT34 ou OilRig, que les chercheurs du secteur ont associé au gouvernement iranien. Depuis, la quantité de données divulguées n’a cessé de grossir.

Celui qui se fait aussi appeler « Lab Dookhtegan » (traduction de « lèvres cousues » du farci au Français) a ainsi révélé les outils d’espionnage, l’identité, les coordonnées et la photo des hackers présumés. « Nous publions ici les outils que le Ministère du Renseignement iranien a utilisés contre ses pays voisins […] ainsi que des informations relatives aux objectifs de ces cyberattaques », est-il écrit.

Des preuves tangibles liées à 66 cyberattaques

Les programmes Hypershell et TwoFace, qui permettent aux attaquants de s’implanter sur des serveurs web piratés, font par exemple partie des dispositifs utilisés par APT34, tout comme PoisonFrog et Glimpse, des versions dérivées du cheval de Troie d’accès à distance BondUpdater. Ce dernier a notamment été repéré en août dernier par les chercheurs du Palto Alto Networks.

Plus que de simples informations personnelles sur les pirates ciblés, les données divulguées constituent avant tout des preuves tangibles selon lesquelles OilRig aurait participé à 66 cyber-opérations dans le monde. Elles mettent également en exergue les adresses IP des serveurs utilisés par les services de renseignement iraniens, et dévoilent de nombreux détails sur la mise en place de serveurs compromis partout dans le Moyen-Orient.

Leur force de frappe mise au jour

L’aéroport d’Abu Dhabi, la National Security Agency du Bahreïn, la compagnie aérienne nationale des Émirats arabes unis Etihad Airways, la Solidarity Saudi (assurance) ou encore une société de jeux sud-coréenne et une agence gouvernementale mexicaine sont autant d’exemples cités dans l’article de Wired.

Si l’attribution de cette attaque n’a pas été établie, force est de constater qu’elle vise à compromettre la sécurité des victimes et à déstabiliser les cellules informatiques du gouvernement iranien. Ce type de divulgation devrait les pousser à développer de nouveaux outils d’attaque, et permet, surtout, d’évaluer leur force de frappe. Une aubaine pour leurs ennemis et les services de renseignement du monde entier.

Partager sur les réseaux sociaux