La boulette. Cinq heures de vidéo montrant des hackers iraniens en train de s'adonner à leur activité préférée –le piratage– ont été filmées directement depuis leurs écrans. Destinées à la formation des futurs pirates, elles ont été mises en ligne sur un serveur dédié. Sans savoir que celui-ci, dont la sécurité était mal configurée, était espionné par la X-Team d'IBM Security.
Ces vidéos font partie de 40 gigas de données volées par l'équipe de cybersécurité. Les images montrent les hackers en train d'extraire le contenu de comptes Gmail et Yahoo piratés, et d'accéder à des documents stockées dans le cloud Google.
Il ne s'agit pas de hacking sophistiqué, mais d'opérations relativement basiques pour les opérations de phishing à grande échelle. Les vidéos n'en sont pas moins intéressantes.
Dans l'une d'entre elles, le hacker utilise le logiciel Zimbra pour télécharger l'intégralité de la boîte de réception d'un compte Gmail piraté. Il supprime ensuite l'alerte selon laquelle les permissions ont été changées, puis télécharge les contacts et les photos. Un autre fait la même chose sur un compte Yahoo.
Il s'agit de faux comptes créés spécialement pour l'entraînement. Le premier piratage prend quatre minutes, le trois. L'opération serait plus longue sur un vrai compte.
Cibles gouvernementales et militaires
Avec certains de ces comptes piratés, les hackers iraniens ont lancé des attaques de phishing, notamment contre le département d'État américain et un philanthrope irano-américain. Certaines étaient associées à un numéro de téléphone iranien (+98) et l'on ignore si elles ont fonctionné.
D'autres extraits vidéo les montrent en train d'extraire les données (photos, courriels, dossiers fiscaux) de véritables comptes piratés appartenant à un marin de l'US Navy et à un autre de la marine grecque.
On voit aussi ces individus manipuler un document incluant des noms d'utilisateurs et des mots de passe pour toutes sortes de comptes (bancaires, abonnements de streaming...)
En revanche, ils ne semblent pas pouvoir contourner la double authentification lorsqu'elle est activée. Enfin, les cibles sont cohérentes avec ce que l'on sait des opérations cyber-iraniennes, souvent basées sur le phishing.
«Le groupe s'est concentré sur les cibles gouvernementales et militaires qui représentent un défi direct pour l'Iran, telles que les régulateurs nucléaires et les organes de sanctions. Plus récemment, il [a ciblé] des sociétés pharmaceutiques impliquées dans la recherche sur Covid-19 et à la campagne Trump», conclut Wired.
