Actu Applications & Soft

Code source des outils de cyberespionnage iraniens divulgués sur Telegram

Les outils de piratage APT34 et les données sur les victimes ont filtré sur un canal secret de Telegram depuis le mois dernier.

Dans un incident sans rappeler la fuite Shadow Brokers qui a exposé les outils de piratage de la NSA, quelqu’un a publié des outils de piratage similaires appartenant à l’ une des unités de cyber-espionnage d’ élite de l’ Iran, connu sous le nom APT34 , Oilrig ou HelixKitten .

INFORMATION : la publicité diffusée sur ce site est l’unique source de revenus,
permettant de vous proposer gratuitement ce contenu en finançant le serveur.
Si vous souhaitez la survie d’un web libre et gratuit, merci de désactiver votre bloqueur de
publicité ou de mettre Fca-Team en liste blanche.Merci

Les outils de piratage informatique sont loin d’être aussi sophistiqués que les outils de la NSA ont filtré en 2017, mais ils sont néanmoins dangereux.

lien pour télécharger cette fuite (merci a fu8uk1 pour le lien )https://mega.nz/#!qfwiECDL!N1KWsrXUKSvgRlxRedYO1REZvNtGhXNICCM7t3hHpzU

LES DONNÉES SUR LES VICTIMES SONT ÉGALEMENT AFFICHÉES EN LIGNE

Les outils ont été divulgués depuis la mi-mars sur un canal Telegram par une personne utilisant le pseudonyme de Lab Dookhtegan.

Outre les outils de piratage, Dookhtegan a également publié ce qui semble être des données provenant de victimes piratées d’APT34, principalement des combinaisons de noms d’utilisateur et de mots de passe qui semblent avoir été collectées via des pages de phishing.

ZDNet était déjà au courant de certains de ces outils et des données sur les victimes après que ce journaliste eut reçu un pourboire à la mi-mars. Dans un compte Twitter, un utilisateur de Twitter partageait certains des mêmes fichiers que ceux découverts aujourd’hui sur Telegram, et nous pensons qu’il s’agit du personnage de Telegram Lab Dookhtegan.

APT34 Twitter
Image: ZDNet

Dans notre conversation sur Twitter, le responsable de la fuite a prétendu avoir travaillé sur la campagne DNSpionage du groupe, mais cela devrait être pris avec un grain de sel, car il pourrait très bien s’agir d’un membre d’une agence de renseignement étrangère qui cherche à cacher sa véritable identité tout en donnant plus de crédibilité à l’authenticité des outils et des opérations de piratage de l’Iran.

En outre, ZDNet a également appris que la même personne sur Twitter avait également contacté des dizaines d’autres journalistes et chercheurs d’InfoSec avec le même message, dans le but de promouvoir la fuite. De même, la même personne a également publié des liens vers certains de ces outils de piratage sur des forums publics axés sur le piratage. Sur ces forums, il a prétendu vendre les fichiers piratés, mais il n’a jamais parlé d’un prix.

AUTHENTICITÉ CONFIRMÉE

Plusieurs experts en cyber-sécurité ont déjà confirmé l’authenticité de ces outils. Chronicle, la division cyber-sécurité d’Alphabet, l’a confirmé à ZDNet plus tôt dans la journée.

Dans le canal Telegram découvert aujourd’hui, le pirate informatique a divulgué le code source de six outils de piratage, ainsi que le contenu de plusieurs panneaux principaux actifs, où les données relatives aux victimes avaient été collectées.

Outils de piratage: 
– Glimpse (version plus récente d’un cheval de Troie basé sur PowerShell que Palo Alto Networks a nommé BondUpdater ) 
– PoisonFrog (ancienne version de BondUpdater) 
– HyperShell (un shell Web appelé TwoFace ) 
– HighShell (un autre shell Web) 
– Fox Panel (phishing kit) 
– Webmask ( tunneling DNS , outil principal derrière DNSpionage )

Outre le code source des outils ci-dessus, Dookhtegan a également divulgué sur le canal Telegram des données provenant de victimes recueillies sur certains serveurs d’APT34 situés en arrière-plan.

Données de victime APT34
Image: ZDNet

Au total, selon Chronicle, Dookhtegan aurait divulgué des données sur 66 victimes, provenant principalement de pays du Moyen-Orient, mais également d’Afrique, d’Asie de l’Est et d’Europe.

Les données proviennent des deux agences gouvernementales, mais aussi d’entreprises privées. Les deux plus grandes sociétés nommées sur la chaîne Telegram sont Etihad Airways et Emirates National Oil. Une liste des victimes (mais sans les noms des sociétés / agences gouvernementales) est disponible ici .

Les données divulguées à chaque victime variaient, allant des noms d’utilisateur et des combinaisons de mots de passe aux informations sur les serveurs de réseau interne et aux adresses IP des utilisateurs.

En outre, Dookhtegan a également divulgué des données sur les opérations APT34 antérieures, répertoriant les adresses IP et les domaines sur lesquels le groupe avait hébergé des serveurs Web, ainsi que d’autres données opérationnelles.

Coques web APT34
Image: ZDNet

Outre les données sur les opérations passées, le responsable de la fuite avait également publié des officiers du ministère iranien du renseignement, affichant des numéros de téléphone, des images et le nom des officiers impliqués dans les opérations de l’APT34. Dookhtegan a créé pour certains officiers des fichiers PDF contenant leurs noms, rôles, images, numéros de téléphone, adresses électroniques et profils de réseaux sociaux.

APT34 doxx
Image: ZDNet

Les dossiers détaillés indiquaient clairement que le responsable de la fuite avait un os à choisir avec les officiers du ministère iranien du Renseignement, qu’il a souvent qualifié de « cruel », « impitoyable » et « criminel ».

« Nous avons plus d’informations secrètes sur les crimes du ministère du Renseignement iranien et de ses responsables et nous sommes déterminés à continuer de les exposer », a déclaré Dookhtegan dans un message de Telegram publié la semaine dernière.

Le responsable des fuites a également publié des captures d’écran sur le canal Telegram faisant allusion à la destruction des panneaux de contrôle des outils de piratage APT34 et au nettoyage des serveurs.

APT34 serveur détruit
Image: ZDNet
APT34 BIOS détruire
Image: ZDNet

Les données divulguées sur ce canal Telegram sont maintenant en cours d’analyse par plusieurs entreprises de cyber-sécurité, a déclaré ZDNet . Il a également fait son chemin sur d’autres sites de partage de fichiers, tels que GitHub.

« Il est probable que ce groupe modifie ses outils afin de conserver son statut opérationnel », a déclaré aujourd’hui ZDNet à Brandon Levene, responsable du service de renseignement appliqué chez Chronicle, dans un message électronique. voir l’utilisation répandue. « 

En effet, les outils ne sont pas sophistiqués et ne sont pas des outils de premier plan comme ceux qui ont été filtrés dans la fuite NSA de Shadow Brokers. Les États-nations ou les groupes criminels qui réutiliseront ces outils le feront probablement comme écran de fumée ou faux drapeau pour masquer leurs opérations en tant que APT34.

SOURCE traduit en français par chrn0s

Related posts

Des activistes français bloquent avec succès un navire saoudien lors du chargement d’armes

bot

Anonymous hackers hacks l’Ecuateur pour Assange

bot

Google Chrome : Password Checkup vérifie si vos identifiants ont fuité

bot

Laissez un commentaire

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désabonner si vous le souhaitez. Accepté Lire la suite