Un pirate informatique iranien démasqué

Un pirate informatique iranien démasqué

0
115
Un pirate informatique iranien présumé qui a aidé le Ministère iranien des renseignements à monter des attaques de cyber espionnage contre les États-Unis, a été démasqué

Pendant des années, “M. Tekide ”a été repéré comme un “drapeau rouge” (signal de danger) au sein des communautés internationales de cybersécurité. Cet alias a réussi à échapper à être publiquement identifié, alors même qu’il était considéré comme l’un des principaux développeurs et pirates informatiques dont les crypteurs (algorithmes de chiffrement), utilisés pour dissimuler des programmes malveillants lors d’une attaque, ont été utilisés lors d’attaques de cyberespionnage dirigées contre les États-Unis, l’Occident, les Pays arabes et Israël.

Mais Jeff Bardin – le responsable des services de renseignement de la société de sécurité Treadstone 71 basée en Californie, qui traque Tekide depuis 2015 – dit qu’il a démasqué l’individu iranien derrière le clavier, lié au ministère de la Défense de Téhéran.

Le pirate informatique serait un vétérinaire âgé de 29 ans, prénommé Mostafa Selahi Qalavand.

«Il est difficile d’évaluer pleinement les dégâts qu’il a causés car il reste encore beaucoup de secrets sur ces attaques. Cependant, son implication concernait principalement des opérations de cyber espionnage pour le gouvernement iranien », a déclaré Bardin à Fox News, soulignant que« M. La fonction de Tekide n’était pas d’attaquer personnellement l’Occident, mais d’aider d’autres acteurs à le faire. Il a été un élément clé de la chaîne d’approvisionnement des groupes de piratage affiliés à l’Iran, qui ont mené de vastes campagnes de cyberespionnage. C’est un programmeur talentueux et ses crypteurs sont sophistiqués. Sans ses crypteurs, ces attaques iraniennes auraient eu beaucoup moins de succès. ”

Ses activités ont débuté à la fin des années 2000 avec le forum Ashiyane de piratage iranien réunissant des hackers, documenté par Bardin ; et elles ont continué jusqu’à environ 2015-16. Le dossier de Bardin, sur les activités présumées de Qalavand lorsqu’il se surnommait M. Tekide, conclut que le jeune homme de 29 ans a récemment obtenu son doctorat en sciences vétérinaires à Karaj et ouvert un cabinet, appelé Rapha Vet Clinic mais il a, depuis, déclaré que la clinique «ne va pas bien, probablement en raison du climat économique en Iran et du manque d’affinité avec les animaux domestiques, tels que les chiens et les chats, en Iran».

Cette image publiée par le site officiel du ministère de la Défense iranien, le dimanche 12 mars 2017, montre un char de fabrication nationale appelé "Karrar" dans un lieu non divulgué en Iran. L'agence de presse semi-officielle iranienne Fars rapporte que le pays a dévoilé le char fabriqué dans le pays et a lancé une chaîne de production en série. (Ministère de la Défense iranien via AP)

Cette image publiée par le site officiel du ministère de la Défense iranien, le dimanche 12 mars 2017, montre un char de fabrication nationale appelé “Karrar” dans un lieu non divulgué en Iran. L’agence de presse semi-officielle iranienne Fars rapporte que le pays a dévoilé le char fabriqué dans le pays et a lancé une chaîne de production en série. (Ministère de la Défense iranien via AP) (The Associated Press)

«Pendant un certain temps, il a tenté de se sortir des affaires de piratage informatique, mais fin 2018, je l’ai vu retomber dans cette entreprise, plus que probablement pour des raisons financières. Il a créé une nouvelle société qui prétend proposer des services de renseignement sur les menaces et a commencé à mettre à jour ses crypteurs », a déclaré Bardin.

LIRE  Nice : au Festival du livre, la vente de Mein Kampf soulève l'indignation

L’évaluation de Bardin, dans Treadstone 71, indique que l’intérêt de Qalavand pour les ordinateurs et les petits animaux a commencé dès son enfance, qu’il a obtenu un baccalauréat en sciences d’ingénierie informatique de l’Université internationale Imam Khomeini et a passé de nombreuses années, avec les forums Ashiyane, à développer un logiciel utilisé pour l’attaque en chaîne, tout en travaillant éventuellement pour le ministère de la Défense.

«Il excelle en informatique, en particulier en développement de logiciels. Il n’a jamais oublié son rêve de devenir vétérinaire. Il persévère et il est maintenant docteur, qui atteint un objectif, celui de travailler dans l’Union européenne“, poursuit le rapport Treadstone, soulignant que l’individu a” travaillé très dur pour effacer son passé en ligne dans le but apparent de supprimer ses activités criminelles ” et le rapport s’attend à ce qu’il nie tout lien entre lui et ce passé.

Bardin a souligné que, bien que «M. Tekide” a été absent de la sphère du piratage pendant quelques années, alors qu’il tentait de se retirer de ces activités illicites, même en son absence, ses crypteurs étaient toujours utilisés par d’autres attaquants. Ils constituaient donc toujours un élément clé de la chaîne logistique des cyber-opérations pour le régime iraniens et ses groupes supplétifs.

Photo du dossier - Une photo prise le 20 août 2010 montre un drapeau iranien flottant sur un endroit non divulgué de la république islamique à côté d'un missile sol-sol Qiam-1 (Rising) qui avait été mis à l'essai la veille de la mort de l'Iran lance sa première centrale nucléaire construite en Russie. 

Photo du dossier – Une photo prise le 20 août 2010 montre un drapeau iranien flottant sur un endroit non divulgué de la république islamique à côté d’un missile sol-sol Qiam-1 (Rising) qui avait été mis à l’essai la veille de la mort de l’Iran lance sa première centrale nucléaire construite en Russie.  (VAHID REZA ALAEI / AFP / Getty Images)

“Il a également testé, à plusieurs reprises ses crypteurs, avec des solutions, telles que VirusTotal afin de s’assurer qu’ils resteraient indétectables et efficaces pour le ministère de la Défense iranien”, a déclaré Bardin. «Ce qu’un crypteur fait en réalité, c’est de masquer la signature du logiciel malveillant en le cryptant, afin qu’il ne puisse pas être détecté ou suivi par les équipes de sécurité et les services de protection contre les menaces. M. Tekide est un programmeur accompli et compétent. Ses crypteurs ont été utilisés par divers pirates ainsi que par le gouvernement iranien, lors d’attaques associées à APT34 – alias OilRigMuddyWater, etc. ”

LIRE  L'enfer de la déportation au coeur de la fabrication de l'arme secrète d'Hitler

OilRig est un groupe de menaces aux origines iraniennes présumées qui cible les victimes du Moyen-Orient et internationales depuis au moins 2014, déclare Bardin. Le groupe a ciblé diverses industries, notamment les secteurs financier, gouvernemental, énergétique, chimique et des télécommunications, et a principalement concentré ses activités au Moyen-Orient. Il semble que le groupe mène des attaques contre la chaîne logistique, en exploitant la relation de confiance entre les organisations pour attaquer leurs cibles principales.

” FireEye estime que le groupe travaille pour le compte du gouvernement iranien en se basant sur des détails d’infrastructure contenant des références à l’Iran, sur l’utilisation d’infrastructures iraniennes et sur un ciblage de ceux qui s’alignent sur les intérêts des États-nations”, a expliqué Bardin.

AP Graphicsbank

AP Graphicsbank

Les efforts apparents de Qalavand pour se soustraire au piratage informatique ont commencé autour de 2016, à peu près au même moment où Citizen Lab – une unité de recherche et développement de la Munk School of Global Affairs & Public Policy de l’Université de Toronto – a publié un rapport détaillé sur les Opérations de piratage iraniennes.

Selon le rapport du Citizen Lab, des opérations de logiciels malveillants “minutieusement organisées” visaient spécifiquement les membres de l’opposition syrienne, qui se sont mobilisés contre le régime de Bachar al-Assad, soutenu par l’Iran.

“Les opérateurs semblent à l’aise avec les outils de dialecte iraniens et les sociétés d’hébergement iraniennes, et ils semblent avoir géré des éléments de l’opération depuis l’espace des i.p iraniennes, selon le rapport.

Dans un exemple ciblé, un courriel prétendant provenir du groupe de faux activistes «Assad Crimes» a envoyé un courrier électronique à une personnalité politique syrienne bien connectée, en proposant de partager des informations sur les «crimes» iraniens pour attirer le destinataire, mais les fichiers associés étaient chargés de logiciels malveillants. Le rapport identifiait spécifiquement «M. Tekide ”comme un nom qui apparaît régulièrement dans les données implantées.

«Il semble que M. Tekide ait tout mis en œuvre pour changer de carrière et devenir vétérinaire. Cependant, plus récemment, il semble avoir retrouvé ses habitudes, peut-être pour des raisons financières. Il est également possible que le gouvernement iranien se soit “occupé” de ses factures universitaires et qu’il les leur doit maintenant “, a supposé Bardin. “Il a passé du temps, l’année dernière, à retravailler un cryptographe, ce qui témoigne des progrès constants de ses capacités techniques malveillantes.”

L’identification de Bardin de ‘Mr. Tekide ‘, comme étant en réalité Mostafa Selahi Qalavand a commencé en 2015 alors qu’il menait des recherches pour un client, et Bardin a déclaré qu’il avait observé plusieurs erreurs, résultant de sa tentative précipitée de passer au crible ses antécédents de piratage informatique, en tant que «M. Tekide”, qui a laissé plusieurs liens potentiels vers sa véritable identité.

LIRE  1400 manuscrits hébreux de la BNF seront dorénavant consultables en format digital

“Au cours de ce processus de nettoyage, il a commis quelques erreurs qui ont laissé des indices reliant directement “M. Tekide” à sa véritable identité. Mostafa a également tenté de brouiller l’identification de ‘M. Tekide ‘en prenant des mesures pour impliquer mensongèrement deux autres personnes en tant que  “M. Tekide”, dit-il. «Il est intéressant de noter que ces feintes étaient en grande partie inutiles, à l’époque, car personne ne le cherchait. Les chercheurs et les enquêteurs ne s’intéressaient qu’au code de cryptage et à la façon de le détecter. Ces erreurs de Mostafa ont conduit à des divulgations qui ont depuis été retirées d’Internet, mais j’ai pu les enregistrer à ce moment-là. ”

Son compte Twitter ne semble pas être actif depuis avril.

Bardin a déclaré qu’il était en contact avec le prétendu hacker en ligne et avait échangé plusieurs messages via Linkedin – le plus récemment en début de cette semaine. Selon M. Bardin, Qalavand a exprimé son intérêt au fait que l’expert américain en cybersécurité travaille pour lui, mais a refusé d’indiquer explicitement quoi que ce soit.

Qalavand n’a pas répondu à la demande de commentaires de Fox News sur le dossier.

Mais finalement, qu’est-ce que cela nous apprend sur les cyber-capacités iraniennes?

«Ils continuent à utiliser la« vieille garde »et ont trouvé que ses crypteurs sont toujours utiles contre les cyberdéfenses classiques. Ils travaillent toujours. D’autre part, lui-même les améliore encore, comme en témoigne un site du forum où il a mis à jour un cryptographe », a ajouté Bardin. « Cela démontre une analyse critique constante des cyber-forces iraniennes et leur capacité à mettre à jour en permanence leurs outils dans la chaîne d’approvisionnement des cyber-opérations. Cela montre également comment le gouvernement iranien s’appuie sur une grande chaîne d’approvisionnement composée de pirates informatiques, de codeurs et de développeurs de logiciels malveillants pour prendre en charge ses opérations cyber-offensives. ”

Aucun commentaires

Laisser un commentaire