The History of Ashiyane: Iran’s First Security Forum

Note de portée*: Recorded Future a mené des recherches sur l'évolution du forum Ashiyane, le premier et le plus grand forum sur la sécurité en Iran. Les sources de cette recherche comprennent la plate-forme Recorded FutureⓇ, l'interaction directe avec les forums, la recherche de sources ouvertes et des entretiens avec un ancien pirate informatique iranien qui affirme avoir une connaissance de première main des forums de sécurité iraniens.*

This report will be of greatest interest to organizations seeking to understand the rapidly changing criminal and state-sponsored cyber threats emerging from Iran to better protect their organizations.

Executive Summary

In a previous report, Insikt Group documented the relationship between the Iranian government, contractors used for offensive cyber operations, and the trust communities that begin with Iranian security forums. This report further explores the historical links between Iran’s primary security forum, Ashiyane Forum, and the Iranian government. Recorded Future observed forum posts from over 20,000 Ashiyane Forum members and found a trend in Iranian hacker migration following Ashiyane Forum’s shutdown in August 2018.

Key Judgments

Ashiyane Forum, once the main security forum in Iran, was managed by one of the primary security contractors in Iran with known connections to Iran’s Islamic Revolutionary Guard Corps (IRGC) and has been shut down since August 2018 with no indication of reemergence.
We assess with medium confidence that Ashiyane Forum and its creator, the Ashiyane Digital Security Team, were key sources for Iranian contractors to identify talent and share information on successful offensive tools and tactics.
Ashiyane Digital Security Team founder Behrooz Kamalian has deep ties to the Iranian government and is currently attempting to build new businesses after his short time in prison.
Recorded Future assesses with moderate confidence that a small percentage of Ashiyane Forum users have begun to migrate to one of two distinct Persian forums since Ashiyane Forum’s shutdown, with little membership overlap between the two new forums.

Background

Recorded Future a déjà rendu compte des capacités cybernétiques de la République islamique d'Iran en juin 2015 et mai 2018, décrivant les prouesses cybernétiques du pays, sa lutte contre l'Arabie saoudite pour l'hégémonie régionale et sa volonté de mener des campagnes offensives contre l'Arabie saoudite à ces deux occasions. Depuis au moins 2009, l'Iran a régulièrement répondu aux provocations régionales et aux sanctions internationales en menant des cyberopérations offensives. Les principales cibles de ces attaques ont été l'Arabie saoudite, Israël et des organisations occidentales, ainsi que des entreprises asiatiques du secteur pétrochimique et aéronautique. La sophistication de ces attaques va du détournement des réseaux sociaux et de la défiguration de sites Web à des campagnes hautement destructrices, telles que l'attaque contre Saudi Aramco et les campagnes d'espionnage sophistiquées visant des cibles occidentales, moyen-orientales et asiatiques.
Recorded Future has also previously reported that many Iranian state-sponsored operations utilize contractors, and that Iranian government contractors are forced to mine closed-trust communities to find and retain good cyber talent. The following is an account of the genesis and maturation of Iran’s online security community, and the role that Ashiyane Forum played in that history.
En 2002, selon une source de l'Insikt Group, les jeunes Iraniens créaient des forums web de hackers et des canaux IRC (clubs en ligne) pour partager des informations. Une grande partie de l'activité de ces forums consistait pour les membres à défigurer les sites web de hackers rivaux afin de gagner en prestige auprès de leurs pairs. Les premiers forums comprenaient notamment simorgh-ev.com et ashiyane.com. L'objectif de ces forums n'était pas de générer des profits financiers. Les membres du forum échangeaient plutôt des techniques offensives et commettaient des actes de vandalisme pour s'amuser. Cependant, en l'espace de deux ans, les défigurations de sites web iraniens ont commencé à inclure des messages à connotation idéologique et religieuse. Selon une source d'Insikt Group, vers la fin de l'année 2007, une brève escarmouche en ligne a éclaté entre des forums saoudiens consacrés au wahhabisme (religion dominante en Arabie saoudite) et des forums iraniens.
The Iranian government began to take notice of these defacements, translating the cyber activity into formal propaganda — Iranian youth taking up the Shia cause. According to Insikt Group’s source, notoriety came with something akin to an “Iranian defenders” label, and Iranian hackers had a new motive to participate in foreign website defacements.
Multiple data points suggest that Iranian security forums play a role in staffing and knowledge sharing for Iranian contractors. For example, Insikt Group’s source claims that the Iranian Simorgh forum administrator had familial ties to the Islamic Revolutionary Guard Corps (IRGC), a branch of Iran’s Armed Forces involved in cyber operations. Most suspiciously, a handle found in APT33 malware, Xman_1365_x, has also been found as an active member on Ashiyane Forum, the largest and most famous hacking forum within Iran. This forum is managed by an Iranian security contractor with proven ties to IRGC operations. Based on the link between Ashiyane Forum and its namesake contractor, a forum member with ties to APT33, as well as the contractor’s links to the Iranian government, we assess with medium confidence that Ashiyane Forum has provided staffing and knowledge exchange for Iranian state-sponsored contractors.

History of Ashiyane Forum and Its Founder

D'après les données archivées de la page Web, le forum Ashiyane a initialement été créé au début de l'année 2003 en tant que section du site Web original de l'équipe de sécurité numérique Ashiyane, ashiyane.com. Le forum s'est développé pour devenir son propre site web, ashiyane.org, en 2006. Ashiyane.org comprenait des sections consacrées aux questions générales, au partage d'outils, aux défigurations, aux sessions de formation et aux actualités. La plupart de ces sections originales ont été conservées au fur et à mesure que le forum s'est développé pour devenir l'un des plus grands forums de piratage informatique en Iran. En août 2018, le forum Ashiyane a été fermé.
Banner for Ashiyane in 2006.
Banner for Ashiyane Forum proclaiming that it is the “first security forum in Iran.”
Le forum Ashiyane était géré par Ashiyane Digital Security Team, unesociété de sécurité informatique de type «grey hat ». Fondée en 2002, l'équipe Ashiyane Digital Security avait pour objectif initial de sensibiliser les utilisateurs et les administrateurs réseau iraniens à la sécurité en identifiant les vulnérabilités des réseaux informatiques. Les membres de leur groupe continuent de défigurer des sites web pour se faire connaître : en 2014, des traces de l'Ashiyane Digital Security Team ont été trouvées sur des sites web défigurés appartenant à des organisations gouvernementales thaïlandaises et indiennes, ainsi que sur des sites web hébergés sur des adresses IP italiennes.
L'équipe de sécurité numérique Ashiyane a attaqué des centaines de sites web appartenant à des organisations gouvernementales israéliennes et américaines, notamment le Mossad et la NASA, en raison de leur manque de respect envers l'ayatollah Khomeini. Lorsque des pirates informatiques sunnites arabes ont détruit un serveur important hébergeant la plupart des sites web religieux chiites en Iran, le forum Ashiyane a riposté en détruisant 300 sites web arabes en attaquant cinq des principaux serveurs appartenant aux pirates informatiques. Le ministère de la Justice et d'autres acteurs du secteur ont identifié des membres de l'équipe de sécurité numérique Ashiyane impliqués dans des opérations pour le compte du CGRI.
Behrooz Kamalian, connu comme le « père du piratage informatique iranien », est PDG et fondateur de l'Ashiyane Digital Security Team. Behrooz est très apprécié des Iraniens pour sa volonté de partager ses connaissances avec les jeunes hackers. Behrooz est également très apprécié de nombreux acteurs et actrices iraniens qui affirment qu'il les a aidés à protéger leur accès à Instagram, notamment en leur permettant de reprendre le contrôle de comptes qui avaient été piratés. Interrogé sur l'implication éventuelle de l'équipe de sécurité numérique d'Ashiyane dans les efforts soutenus par l'État iranien, M. Behrouz a déclaré que, bien que le forum Ashiyane fonctionne de manière indépendante et spontanée, il coopère avec les appareils militaires iraniens en matière de conseil et d'amélioration de la sécurité, et «a toujours agi dans le cadre des objectifs de l'État ».
Behrooz Kamalian’s Instagram profile.
Les défigurations de sites web les plus notoires du forum Ashiyane tournent autour du conflit historique entre l'Iran et l'Arabie saoudite. À la fin de l'année 2008, alors que des groupes wahhabites saoudiens ripostaient aux actes de piratage commis contre des sites iraniens en défigurant à leur tour des sites iraniens, M. Behrooz Kamalian rendit visite à l'ayatollah Naser Makarem Shirazi, un religieux de premier plan. À la suite de cette réunion, le religieux a publiquement demandé aux groupes de hackers iraniens de faire preuve de retenue et de cesser leurs attaques contre les sites web wahhabites. Cependant, les dégradations n'ont pas cessé ; ces échanges ont été immortalisés sur zone-h.org. un site web qui répertorie les défigurations de sites web. Le 9 octobre 2008, Delta Security (une filiale d'Ashiyane Forum) a été compromise par bAd Hack3r, un acteur ayant une longue histoire d'actes de défiguration de sites iraniens.
La source d'Insikt Group affirme que, dans le cadre d'une opération spécifique, des acteurs wahhabites ont déployé des campagnes de spearphishing à l'aide d'une version piratée de Putty (une application gratuite de connectivité à distance pour Windows) à partir des serveurs de messagerie compromis du forum Ashiyane. Le groupe XP, un groupe présumé wahhabite, a spécifiquement commencé à cibler et à défigurer des sites religieux iraniens à l'aide d'images vulgaires. Par la suite, le site web de XP-Group a été vandalisé en représailles. Pour les observateurs extérieurs, il était difficile de déterminer quelle partie avait provoqué l'escalade. Un membre du forum Ashiyane a déclaré à la source d'Insikt Group que Kamalian avait créé XP-Group et était propriétaire du domaine. Si cela est exact, XP-Group se présentait comme wahhabite, mais était en réalité détenu et géré par Kamalian. Le forum Ashiyane et le groupe XP étaient essentiellement identiques, et Kamalian avait créé son propre conflit cybernétique motivé par des considérations religieuses. Recorded Future n'a pas été en mesure de confirmer la validation secondaire de ces allégations.
En 2009, le gouvernement a publié une directive visant à mettre sur liste noire tous les sites de piratage informatique iraniens en réponse au Mouvement vert iranien, au cours duquel des sites du gouvernement iranien tels que khamenei.com ont été attaqués. Le forum Ashiyane était l'un des seuls forums de piratage informatique encore en activité, et selon la source d'Insikt Group, la communauté iranienne de pirates informatiques a émis l'hypothèse que Kamalian avait conclu un accord d'exclusivité avec le gouvernement iranien. Le forum Ashiyane était devenu le principal forum reliant la nouvelle génération de hackers iraniens.
Après le pic du Mouvement vert, les campagnes cyberoffensives soutenues par le gouvernement ont été désorganisées. En 2010, le ver Stuxnet a réussi à paralyser les usines d'enrichissement d'uranium iraniennes, et le CGRI, qui rend compte à l'ayatollah Khamenei, a pris conscience de la nécessité de développer rapidement des compétences offensives en matière de cybersécurité. En tant que premier groupe de hackers aligné sur les intérêts de l'État, Behrooz et Ashiyane Forum étaient bien placés pour apporter leur aide. Un membre de l'équipe de sécurité numérique Ashiyane a participé à une campagne de déni de service distribué (DDoS) menée par le CGRI contre des institutions financières américaines en décembre 2011, qui a duré plus de 176 jours. De plus, le statut de Kamalian au sein du CGRI a été renforcé après son inscription sur la liste des sanctions de l'UE en 2011.

Threat Analysis: Ashiyane Forum Content

En tant que l'un des seuls forums de piratage informatique iraniens organisé par une société de sécurité ayant clairement coopéré avec les forces cybernétiques de l'État iranien, le forum Ashiyane a attiré environ 20 000 utilisateurs actifs. En collectant et en analysant les fils de discussion du forum Ashiyane au cours des 12 dernières années, Recorded Future a déterminé les tendances générales au sein du forum. La majorité du contenu publié sur le forum Ashiyane était axé sur l'exploitation du Web. Le cross-site scripting, les attaques DDoS, SQL et autres injections de code basées sur les navigateurs ont constitué les principaux sujets abordés depuis la création du forum. De plus, les exploits Android ont été un sujet récurrent au cours des quatre dernières années, probablement en raison de l'augmentation constante du nombre d'appareils mobiles dans la région, qui sont passés de 26,72 % de la part totale du marché des appareils en janvier 2014 à 37,85 % en avril 2015.
An Ashiyane Forum post requesting assistance deploying AndroRAT. (Source: Recorded Future)
In 2015, the top tools advertised included Android remote access trojans (RATs), such as AndroRAT and Dendroid RAT, and Citroni Ransomware. In 2016, content on the forums shifted to exploits for consumer electronics and Android devices, as well as exploits for internet protocols. Android malware DroidJack, PC trojan njRAT, and USB malware PoisonTap became popular, as did questions about DDoS and SQL injection attacks. In 2017, while similar themes to those discussed in 2015 and 2016 were popular, many posts revolved around Linux products and enterprise content management, as well as Android devices. Because Ashiyane Forum was one of the most famous hacking forums within Iran, these posts likely represent a consistent stream of new, less experienced members registering on the forum and asking similar questions about simple web vulnerabilities on newer web browsers and technologies.
Visual of Ashiyane Forum cyber trends by top three recent years.
Insikt Group estime que le forum Ashiyane comptait également dans ses rangs des hackers expérimentés, comme en témoigne la rapidité avec laquelle de nouvelles vulnérabilités très sophistiquées ont été partagées entre les membres du forum. Par exemple, une preuve de concept pour CVE-2015-0313, une vulnérabilité de type « use-after-free » (UAF) dans Adobe Flash, ainsi qu'un article similaire pour CVE-2015-0311, une vulnérabilité de type « remote code execution » (RCE) dans Adobe Flash, ont été publiés quelques mois seulement après l'enregistrement de ces vulnérabilités dans la base NVD. De plus, lorsque l'outil de piratage OutlawCountry de la CIA a été publié sur WikiLeaks le 29 juin 2017, les membres du forum Ashiyane ont partagé et discuté de cet outil seulement cinq jours plus tard.
Advertisements on Ashiyane Forum since 2015. (Source: Recorded Future)

The Shutdown of Ashiyane Forum and Iranian Hacker Migration

On March 12, 2018, the official Ashiyane Digital Security Team channel stated that the Iranian court had ordered them to shut down all of their activities until further notice. While the announcement gave no reason as to why the shutdown had occurred, sources in Iran confirmed that Ashiyane Forum was operating gambling websites, which is dangerous due to the penalties, including life imprisonment or death. Ashiyane Forum was previously linked to gambling in 2013, when a portion of Ashiyane Forum’s database was leaked online. According to Insikt Group’s source, the username used for Ashiyane Forum’s database support was linked to the creation of multiple poker sites operating in Iran under the moniker “persianpoker.”
Pastebin of an Ashiyane Forum dump from 2013, correlated with DNS records for persianpoker[.]asia.
Selon les données de Recorded Future, le forum Ashiyane a été mis hors ligne le 5 août 2018. Les membres du forum ont fait circuler des rumeurs selon lesquelles le site aurait été piraté ou fermé de force. Le 31 octobre 2018, un spécialiste iranien de l'hébergement a publié le tweet suivant : « Je suis inquiet depuis quelque temps. Je ne sais pas qui est responsable maintenant que Behrooz n'est plus là. » Insikt GroupLa source et les messages publiés sur le forum Ashiyane entre mi-avril et juillet 2018 indiquent que Behrooz avait été arrêté. Cependant, Behrooz a été libéré début novembre et, le 8 novembre 2018, il a publié une vidéo sur Instagram dans laquelle un acteur iranien le remerciait d'avoir récupéré l'accès à son compte Instagram après que celui-ci ait été piraté. Les utilisateurs d'Instagram ont laissé des commentaires sur les publications les plus récentes de Behrooz pour s'enquérir de la fermeture du forum Ashiyane, mais Recorded Future n'a pas observé que Behrooz ait réagi à ces commentaires.
Online poker is both a profitable and dangerous enterprise. According to Insikt Group’s source, there are over 3,000 gambling websites within Iran that are short lived and are blocked daily. While Insikt Group has been unable to find secondary verification on the statistics themselves, Insikt Group can confirm that running gambling operations in Iran or any Islamic country is a dangerous act due to its harsh punishments. Instead of receiving life imprisonment or the death penalty, Behrooz was able to leave prison in only a few months, possibly due to his existing relationships with the Iranian government and the IRGC. If this is the case, Behrooz’s lenient sentencing may suggest that his role in the domestic hacker community is of great importance to the Iranian government. However, Ashiyane Forum remains offline and Behrooz has rebranded himself as the hacker that assists celebrities on social media. There is no evidence that Behrooz will attempt to recreate the Ashiyane Digital Security Team and Forum in the future.
Twitter reactions to the Ashiyane Digital Security Team shutdown.

Ashiyane Forum Member Migration Activity

As one of the largest and most prominent forums within the Iranian hacking community, Ashiyane Forum’s closure will likely leave hackers searching for new communities that provide the same topical discussions and interactions, or rely increasingly on other already established — albeit less popular — forums.
Recorded Future reviewed posts from over 20,000 Ashiyane Forum members from 2014 to 2018. Of the 18,060 users active before Ashiyane Forum shut down, only four percent of users had monikers with exact matches on other Persian, Arabic, Russian, or English forums. Of these exact matches, two stood out in particular: VBIran.ir and Persian Tools forum. The below graph shows the number of exact Ashiyane Forum username matches on other forums, separated by the date of their first post. Recorded Future attempted to ascertain whether a majority of the usernames were created before the Ashiyane Digital Security Team channel shutdown announcement in March 2018 (during the period between the announcement and the forum shutdown), or after Ashiyane Forum’s shutdown on August 5, 2018.
Forums with overlap in Ashiyane Forum membership. (Source: Recorded Future)
With 237 exact Ashiyane Forum username matches, VBIran.ir had the most users in common overall, and most of the users had posted on the VBIran.ir forum prior to any Ashiyane Forum shutdown announcement. Persian Tools forum, on the other hand, had no usernames in common prior to the Ashiyane Forum announcement — all 85 users registered either during or after the shutdown period. While CyberForum.ru also had a large number of Ashiyane Forum username matches, a majority of the matches were false positives due to commonly used usernames.
After removing likely false positives and looking for common entities, Recorded Future concluded that usernames with exact matches to Ashiyane Forum members consist of approximately seven percent of total membership on VBIran.ir — one out of every 14 members is a former Ashiyane Forum member. Exact matches to Ashiyane Forum usernames also now constitute 3.5 percent of total membership on Persian Tools forum, up from from zero percent in March 2018. Interestingly, there was almost no overlap in Ashiyane Forum usernames between the two forums, suggesting that after Ashiyane Forum shut down, hackers that migrated to other forums split into two factions.
Breakdown of membership on possible Ashiyane Forum migrations. (Source: Recorded Future)

VBIran.ir and Persian Tools Forum

While both of these forums have approximately one-tenth of Ashiyane Forum’s membership, they share some similarities with Ashiyane Forum itself. Both forums contain primarily Farsi posts, similar to Ashiyane Forum, and offer fairly large forums to conduct offensive tactical discussions. However, Persian Tools forum and VBIran.ir differ widely in terms of content and focus. Most posts on Persian Tools forum are either sales posts or posts related to Iran, hacking, electronics, or even soccer. Forum organization on Persian Tools forum also seems to be similar to that of Ashiyane Forum, before Ashiyane Forum became separate from the Ashiyane Digital Security Team website.
While a section of the Persian Tools forum website exists with subsections on various forms of hacking, Persian Tools forum also offers SSL certificate sales, hosting services, and even website design. VBIran.ir also appears to cater to a more general audience. VBIran.ir posts are primarily discussion or tutorial-based, and cater to topics on both hacking and software development. Furthermore, VBIran.ir does not offer any special services like Persian Tools forum, but instead sells various web development plugins. This is a possible reason as to why there was little overlap between Ashiyane Forum members.

Outlook

Ashiyane Digital Security Team, as the administrator of one of the largest and most prominent forums within Iran’s hacking community, has not announced the reasons behind Ashiyane Forum’s shutdown and has ignored questions about its possible return. The forum is likely offline indefinitely. There does not appear to be a clear Ashiyane Forum replacement, though smaller forums are attracting new members.
We assess that companies with business relationships in Iran, firms operating in Saudi Arabia, and any energy or national defense organization should monitor the evolutions of these newer forums. Iranian contractors who previously relied on Ashiyane Forum as their primary community will continue looking for alternatives.
We also assess that Behrooz Kamalian is a worthwhile individual to monitor for the same previously described organizations because of his relationships inside the Iranian government, as well as his reputation as one of Iran’s premier hackers.