Rencontre avec des pirates Iraniens

Ils se font appeler Iranian Cyber Security. Âgés de 15 à 20 ans, ces jeunes pirates informatiques ne travailleraient que pour leur compte. ZATAZ a pu les interviewer afin de tenter de comprendre qui se cache derrière ces pirates informatiques venus de Perse.

Ils disent avoir entre 15 et 20 ans. Ils vivraient en Iran et « dans une région montagneuse, quelque part dans le monde qui rappelle le Khojir« . Autant dire qu’il faut prendre avec des pincettes toutes les informations qu’ils ont pu fournir. Je les ai trouvé assez facilement, dans un black market ouvert sur le web. Il m’a suffit de leur envoyer un courriel, via une adresse protonmail. Ils vont m’ouvrir un espace de communication, exploitant plusieurs sites protégés par le système d’anonymisation TOR. Un petit parcours du combattant. D’abord via des systèmes de chiffrement de messages ressemblant à « Instant Ecrypted mesage » et « Cryptor« . Certains propos n’auront que quelques minutes d’existence avant de s’auto détruire ! Le tout envoyé via un tchat chiffré de type Crypto Dog.

Des pirates qui exploitent de nombreux outils chiffrés pour communiquer.

Des  millions de données piratées

Auteurs de dizaines de fuites d’informations, il devenait intéressant de comprendre et tenter d’analyser ses internautes. Ils parlent Anglais. Comprennent quelques mots en Français. Ils  semblent éduqués. « Nous sommes passionnés par l’informatique. Se sont nos études et espérons, notre avenir« . Pour eux, le web est un grand terrain de jeu. Un endroit « qui permet de nous faire des amis, de gagner de l’argent, d’accroître nos connaissances« . Des propos que n’importe quel adolescent sur la toile pourrait tenir. Ils se mettront « en colère » à la suite de deux questionnements concernant leurs familles. Sont-elles alertées de leurs actes ? Leurs actions sont-elles orchestrées par des adultes, comme le gouvernement ? « Nous sommes totalement libre de nos actes. Meydān n’a pas besoin d’en savoir plus. » Par meydān, traduisez le lieu public.

Des centaines de bases de données et plusieurs centaines de milliers de francophones piratées ! – Source : zataz.com

Ils affirment ne pas avoir de « coachs« , qu’il soit gouvernemental, municipal, … « Militaire ? » vais-je demander ? Ils me répondront par un smiley et un MDR (Mort de Rire). « Ils ont Nour. Pas besoin de nous !« . Pour la petite histoire, Nour, qui se traduit par « Lumière » en persan, est le satellite militaire mis en orbite par les Gardiens de la Révolution en avril 2020. Les USA et le Royaume-Unis pensent qu’il s’agit d’un test pour la fabrication de technologies pour des missiles balistiques.

Pas de politique, pas de religion… juste du business !

« Que pensez-vous des pirates gouvernementaux Iraniens ? » vais-je leur demander, quelques questions plus tard. « Rien ! Comment pourrions-nous le savoir ? Si ces derniers étaient efficace, le gouvernement en parlerait beaucoup plus. Pour le moment, il n’y a que les Etats-Unis d’Amérique et Tel-Aviv qui en parlent !« .

Les deux internautes ont un site web. Je ne donnerai pas l’adresse, ni l’outil a utilisé pour le visiter. Sobre, il est noir fusionnant des couleurs acidulées. A mille lieux des têtes de morts et autres pirates à capuche. « Vous savez, ici, on met des capuches quand il neige« .

Leur site affiche des centaines de bases de données. L’addition que j’ai effectué tirée de cette caverne: pas moins de 154 millions d’identifiants de connexion (ID/Mails/Mots de passe). « Des données que nous collectons via du phishing et la fusion de données que nous partageons entre initiés« .

Des pirates spécialisés dans le vol de comptes de connexion aux jeux vidéo. Ils en stockent beaucoup dans des espaces Discords. – Source: zataz.com

J’ai eu la possibilité d’accéder aux données. Ils stockent l’ensemble des fichiers sur des sites dédiés comme Anonfiles,  Pastr, Gofile, Mail.ru, Sendspace ou encore des espaces de stockage dans le darkweb tel que 0bin. Ils font très attention à ne pas « géolocaliser » les contenus. Aucun pays n’est cité, aucun site piraté non plus. « Un choix qui nous permet d’éviter le référencement, le repérage« . Ils fournissent cependant les noms à la demande ! Je leur ai posé la question à savoir pourquoi avoir accepté notre rencontre ? « Cela nous intéressait de savoir qui vous étiez, ce que vous alliez nous poser comme question.« .

Plus de 1 000 bases de données

Dans leur site, donc, plus de 1 000 bases de données. Une seconde « page », toujours aussi sobre, propose de télécharger plusieurs dizaines de « produits » diffusés via leur Discord, un espace de communication très prisé par la jeune génération [mais pas que :)] connectée. Une section intéressante. Un peu plus de 15 millions de connexions à des comptes de jeux vidéo. Toutes les sociétés y sont affichées. Leurs clients aussi : Steam, UPlay, Origin, PSN, Blizzard. « Nous collectons pour revendre. Il y a un marché, de la demande, …on profite de la bêtise des gens et d’un business florissant« . Capitalistes nos pirates ? A coup sûr… avec les données volées !

J’avoue avoir été tenté une question sur le rançonnage, les ransomwares … « Nous ne touchons pas à ça. Il suffit que cela implique des individus de notre pays, et nous pourrions avoir de gros problèmes« . Voilà qui est clair. « Il se peut que des gens utilisent nos informations pour lancer des cyber attaques, mais on n’en sait rien. Ce n’est pas notre problème« .

Pas ou peu de religion dans leurs discours. Ça parle de fille, assez souvent. Il semble que les données dédiés aux sites pour adultes soient un vivier intarissable de devises. « On a des Paypal, on se fait payer en cryptomonnaie, on sait comment gérer. Ça nous permet de bien vivre… sans excès« . Prudents et … malins.

Ils ont refusé de me dire quelles étaient les cryptomonnaies utilisaient. « C’est secret, et ce n’est pas en Bitcoin« .

Ils ont référencés plusieurs milliers de données dans des sites de stockage ! – Source: zataz.com

Angra Mainyuh

Une troisième section de leur site propose des outils. Ils sont uniquement dédiés aux analyses de bases de données, de la gestion de comptes pirates. Aucun virus, rançongiciel. « Nous ne touchons pas à ça. Nos prisons sont remplies de gens qui ont fait des bêtises. On n’en fera pas !« .

Bien renseigné sur le monde, il semble être aussi très bien renseigné sur l’économie mondiale et l’univers des jeux vidéo. « Les joueurs sont tellement prévisibles, tellement sûr d’eux. Nos clients savent comment les exploiter. Nous ne sommes qu’un maillon de la chaîne« . Ici aussi, peu ou pas de commentaires sur leurs « clients« . Quelques bribes de détails nous font penser qu’il s’agit de monsieur et madame tout le monde « Ils veulent payer moins chers des accès. On leur offre la possibilité d’économiser. LOL« .

Dans leurs autres clients, des marketeurs agressifs qui souhaitent se constituer des bases de données mails à petit prix, ou beaucoup plus agressifs « pour lancer des escroqueries aux bitcoins comme ce fût le cas via les comptes de youtubeurs« . Ils ne parleront pas des autres cas, des autres acheteurs !

Bref, des loups membres d’une importante meute malveillante. Meute évoluant au milieu d’une bergerie !

Il ne semblait pas avoir d’avis sur les données en vente concernant des politiques, l’armée et le nucléaire de leur présumé pays. « C’est du business. Tant pis pour ceux qui se perdent au pied de la Panzdah e khordad*« .

* Semble être une station de métro donnant accès au grand bazar de Téhéran.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Xammax Reply

    Super intéressant de voir qu’ils vivent dans le même monde que nous et qu’il n’y a pas d’idéologie particulière derrière tout ceci contrairement à ce que nous pourrions croire. Merci pour l’article.

    • Damien Bancal Reply

      Bonjour,
      Ils sont un élément, ce qui ne veut pas dire que d’autres n’agissent pas sur ordre ou par idéologie politique/religieuse.
      Cordialement

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.