Note de l'éditeur : l'article suivant est un extrait d'un rapport complet. Pour lire l'intégralité de l'analyse, click here to download the report as a PDF.

Recorded Future’s Insikt Group® is conducting ongoing research on the organizations involved in Iran’s cyber program. This report serves to provide greater insight into the major military and intelligence bodies involved in Iran’s offensive cyber program. Although offensive cyber capabilities include domestic attacks, we researched those organizations with declared international missions. Due to the secretive nature of some organizations and lack of verifiable information, we incorporated competing hypotheses to adhere to industry analytic standards.

For the purposes of this research, we investigated the Islamic Revolutionary Guard Corps (IRGC), including the Basij, as well as the Ministry of Intelligence and Security (MOIS), and the Ministry of Defense and Armed Force Logistics (MODAFL). Although the report suggests links between a select number of advanced persistent threat (APT) groups and certain intelligence organizations, we are unable to conclusively assign them to specific agencies due to gaps in information about each group.

The sources for our research primarily include intelligence surfaced in the Recorded Future® Platform, industry research released by Symantec, FireEye, ClearSky, and PaloAlto, among others, and open source news reports.

Executive Summary

While the Iranian cyber program remains at the forefront of Tehran’s asymmetric capabilities, its intelligence apparatus is colored by various dysfunctions and seemingly destabilizing traits. In particular, the politicization of its various intelligence agencies and ensuing domestic feuds have reportedly polarized officer-level rank and file throughout the various security crises of the Islamic Republic. These crises have surfaced publicly and have acted as catalysts to drive insider threats, have lowered intelligence morale, and have increased the occurrences of leaks. Competition between the intelligence groups has also allegedly led to direct acts of sabotage between agencies.

Amid the political infighting, certain organizations have experienced significant expansions in security powers which undoubtedly includes leveraging offensive hacking tactics, techniques, and procedures (TTPs) to further their intrusions and access to victims. First among those is the Islamic Revolutionary Guard Corps — Intelligence Organization (IRGC-IO). The entity’s mission has grown significantly in the last decade, so much so that it is capable of operating in direct contravention to the intelligence assessments and advice of the Islamic Republic’s constitutionally mandated intelligence agency, the Ministry of Intelligence and Security (MOIS).

Il s'agit du troisième rapport de Recorded Future sur le programme cybernétique iranien. En janvier 2019, nous avons publié un rapport sur Ashiyane, le forum de hackers le plus connu d'Iran, puis en mars 2019, un autre rapport sur la structure de cyberdéfense iranienne et les organisations qui y sont associées.

Key Judgments

• We assess that although there is a differentiation between Iranian agencies that execute internal and external operations, the undefined (and at times overlapping) security missions of each intelligence agency likely complicates efforts to conduct cyber-related attribution.
• We assess that the potential for disinformation by Iranian and extra-regional actors is likely to remain elevated as a result of the volatility in the intelligence establishment and overlapping responsibilities.
• Owing to the complex nature of the Iranian intelligence establishment, history of leaks, and politicization, we assess that Iran’s security sphere likely remains volatile.
• Aggressive, ideologically motivated cyberattacks bear the traits of the IRGC, and in particular, its overseas operations command, the Quds Force. We assess the organization is likely to have coordinated destructive operations as part of Iran’s asymmetric response capability.
• We assess that tertiary academic institutions, such as the Imam Hossein University, are highly likely to continue to assist the Iranian cyber program and enhance the capabilities of regime-aligned operators.
• We assess that Iran-based, specialized contracting groups are likely to service various government and military entities. Contracting groups are also likely to cater to agency-specific tasking depending on the threat and target of opportunity.

Background

Iran’s intelligence and military-led cyber operations are influenced by a variety of factors: the complex nature of the intelligence establishment, overlapping mission sets, the rulings and interests of Supreme Leader Ali Khamenei, the influence of military organizations such as the Islamic Revolutionary Guard Corps (IRGC), and internecine politics.

The Iranian Intelligence Establishment

Selon l'agence de presse iranienne Fars, les services de renseignement iraniens se sont développés depuis la révolution islamique de 1979 et comptent désormais au moins seize organismes distincts chargés d'activités de renseignement. Le rapport de Fars a également souligné le rôle du Conseil de coordination du renseignement (Shorai-e Hamohangi Etelaat), qui serait le principal mécanisme chargé de réunir toutes les entités de renseignement afin de coordonner les efforts contre diverses menaces à la sécurité nationale et internationale.

Iranian intelligence agencies are either components of the IRGC organization, or like the Ministry of Intelligence and Security (MOIS), belong to the varying components of Iran’s elected government. These entities, however, are all subordinate to the edicts of Supreme Leader Khamenei; some, such as the Islamic Revolutionary Guard Corps — Intelligence Organization (IRGC-IO) are assessed to adhere to Khamenei’s interests more directly than others. MOIS, which is currently led by Mahmoud Alavi, officially leads MOIS’s intelligence mission in coordination with the priorities of the elected government.

Les services de renseignement iraniens se caractérisent notamment par le chevauchement des tâches, des exigences en matière de ciblage et des responsabilités opérationnelles, ce qui conduit parfois à une concurrence ou à une convergence des ressources militaires et du renseignement. Par exemple, comme indiqué ci-dessous, la lutte contre la subversion intérieure serait menée non seulement par le MOIS, mais également par l'IRGC-IO, ainsi que par d'autres agences telles que la cyberpolice iranienne (FATA).

Au niveau international, le MOIS et le CGRI seraient tous deux à la tête d'opérations de renseignement indépendantes et coopéreraient dans le cadre d'opérations visant à lutter contre les menaces à la sécurité nationale. Dans certains cas, ces chevauchements compliquent les efforts d'attribution cinétique et cybernétique. D'autres opérations de renseignement, telles que celles mentionnées dans un acte d'accusation du ministère américain de la Justice (U.S. DOJ) de février 2019 contre divers cyberagents iraniens, suggèrent que les ressources sont partagées entre les agences et que les agents sont susceptibles de fournir des services à plusieurs entités associées aux services de sécurité iraniens.

Overlapping Cyber Missions

The attribution of cyber campaigns and incidents in many cases reveal the plausible strategic and tactical interests of two, if not more, intelligence organizations of the Islamic Republic. The MOIS and the IRGC remain the most pertinent entities with overlapping intelligence and security missions. APT groups also respond to the tasking requirements of both organizations, and as we highlight below, to specific sub-groups. While technical attribution is conducted by Recorded Future and the broader industry, without access to information on the composition of APT groups, including personnel and their networks’ affiliations, APT attribution to specific organizations becomes more complex. Attribution necessitates the aggregation of multiple technical, organizational, and personal behavioral data sets, to enable more precise attribution.

À l'instar d'autres nations, les informations stratégiques et tactiques sont essentielles pour les agences iraniennes. Les informations politiques, militaires et économiques constituent un moteur important des opérations internationales de cyberespionnage, notamment à l'encontre de responsables de divers gouvernements occidentaux et moyen-orientaux. Ces opérations ont toujours eu lieu pendant des périodes de tensions élevées entre Téhéran et la communauté internationale. Dans cette zone d'opération internationale, divers groupes d'acteurs malveillants ont continué à soutenir non seulement les besoins du MOIS et du CGRI, mais également ceux d'un éventail d'acteurs gouvernementaux et d'institutions universitaires, notamment des organismes de recherche et développement associés au ministère de la Défense et du Logistique des forces armées (MODAFL).

Des rapports publics révèlent que des acteurs malveillants iraniens connus ont également mené des opérations contre des États du Moyen-Orient, coordonnant et collaborant parfois contre des cibles spécifiques dans le cadre d'opérations d'attaques informatiques à grande échelle. Plus récemment, cela a inclus l'utilisation du logiciel malveillant destructeur ZeroCleare contre Bahreïn. Cependant, les attaques destructrices font partie de la réponse asymétrique et de la capacité d'attaque de l'Iran depuis au moins août 2012. À la mi-décembre 2018, le géant pétrochimique italien SAIPEM a été la cible, probablement par des acteurs pro-iraniens, d'une attaque utilisant une variante mise à jour du malware Shamoon(2) (Disttrack). L'attaque de décembre 2018 a été suivie peu après par des actes de défiguration de type hacktiviste et des opérations d'information sur les réseaux sociaux menées par des entités se présentant comme représentant la Yemen Cyber Army, un collectif soutenant les intérêts du mouvement houthi (Ansar Allah) et aligné sur celui-ci. Cette collaboration met en évidence le potentiel de coordination des missions et de partage des ressources dans le cadre d'efforts offensifs, face à des groupes d'acteurs malveillants potentiellement diversifiés.

Recorded Future query on some of the Yemen Cyber Army’s social media operations.

Imagery that accompanied the Yemen Cyber Army’s social media operations listed SAIPEM, among other companies.

Sur le plan intérieur, les services de renseignement et de sécurité, y compris dans les zones tribales sous administration fédérale (FATA), luttent contre divers mouvements politiques, milices et groupes extrémistes opposés au régime. Les services de sécurité de l'État ont été observés menant des opérations cinétiques et cybernétiques contre des minorités religieuses ainsi que contre des séparatistes kurdes, arabes ahwazis et baloutches. Par exemple, le groupe de cybercriminels appelé « Domestic Kitten » par Check Point aurait mené une vaste campagne de cyber-surveillance visant spécifiquement les dissidents, les groupes extrémistes et les minorités ethniques à l'intérieur et à l'extérieur de l'Iran. Ce groupe aurait mené la plupart de ses opérations contre des cibles parlant farsi, arabe, turc et kurde, en utilisant l'ingénierie sociale pour inciter les victimes à télécharger des applications mobiles malveillantes.

Dans le cas de la FATA, celle-ci a également outrepassé son mandat légal supposé de lutte contre la cybercriminalité et a pris pour cible des blogueurs iraniens, tels que Sattar Beheshti. Nous constatons que dans le cadre opérationnel des questions relatives à la cybercriminalité en Iran, et plus particulièrement dans la loi iranienne sur la criminalité informatique, la définition du cybercriminel s'est concrétisée pour inclure les militants politiques qui sont pris en flagrant délit de diffusion de matériel anti-régime ou de participation à des manifestations en ligne. Des études sectorielles ont recensé divers cas d'activistes politiques arrêtés et emprisonnés en vertu de la loi sur la cybercriminalité, et ont mis en évidence la souplesse inhérente à cette législation, qui permet aux autorités chargées de l'application de la loi de l'appliquer à leur discrétion. À ce titre, les opérations de la FATA sont très probablement liées à la répression menée par le gouvernement contre les blogueurs et les militants à la suite des soulèvements du Mouvement vert de 2009, mais elles devraient se limiter à la sécurité intérieure.

Les opérations anti-dissidentes de l'Iran ne connaissent pas non plus de frontières nationales, comme l'ont démontré les groupes cybernétiques iraniens APT35 (Charming Kitten), qui a principalement servi le CGRI, et Flying Kitten, qui ont tous deux manifesté une propension à cibler la diaspora iranienne en Europe et en Amérique du Nord.

Military-related technologies, including software, also remain a top priority for a system that professes to be self-sufficient and strives to build and export its defense industry. As we expand on later in this report, entities such as MODAFL are assessed to be leading stakeholders and benefactors of computer network operations focusing on military armaments technology.

Iranian Intelligence Leaks

Les fuites ont régulièrement affecté les services de renseignement iraniens, en particulier le MOIS. Tout au long de son histoire, l'organisation a subi de multiples divulgations à fort impact qui ont menacé de révéler l'identité des membres haut placés du système et ses opérations internationales. Parmi les cas les plus importants, on peut citer les «meurtres en chaîne », les« Iran Cables » et, dans une moindre mesure, diverses fuites informatiques non corroborées liées à des opérations antigouvernementales. Les griefs politiques ont été à l'origine de fuites importantes visant les agences de renseignement. Celles-ci décrivent des violations commises à l'encontre de collègues agents de renseignement et de la société iranienne, des actes de corruption et de dissimulation, ou, comme le suggèrent les derniers Iran Cables, le mépris du MOIS pour la primauté et les pratiques militaires et en matière de renseignement de la Force Qods du CGRI en Irak.

Les cyberopérations antigouvernementales se sont principalement manifestées dans les années qui ont suivi le soulèvement du Mouvement vert de 2009 et ont été menées par des collectifs anonymes autoproclamés antigouvernementaux, tels qu'Anonymous Iran. Ces groupes avaient pour objectif de révéler les cyberattaques menées par Téhéran contre ses propres citoyens et des cibles internationales. Ils ont ainsi divulgué des documents prétendument confidentiels, des projets cybernétiques, des cas de corruption au sein du gouvernement iranien et des opérations internationales contre des pays du Moyen-Orient. La dernière recrudescence des cyberopérations antigouvernementales a débuté vers la fin de l'année 2017 et se poursuit à l'heure où nous écrivons ces lignes. Divers groupes, tels que Tapandegan, Lab Dookhtegan et Aahack Security Team, seraient à l'origine d'intrusions visant des ressources gouvernementales et militaires.

Suspected Disinformation Efforts

Our investigations on Iranian disinformation continue to identify plausible cases of misdirection, and as such, at the time of this writing, we assess the potential for disinformation by Iranian actors is likely to remain elevated in the future. This is further amplified by leaks and the potential that extra-regional actors manipulate leaked data, or degrade data categorization and attribution, to service their interests against Western cybersecurity organizations. The latter, for example, includes the use of pre-existing C2s to obfuscate an extra-regional threat actor’s own operations.

Since late 2017 and throughout 2019, self-declared Iranian dissident entities have pursued comprehensive efforts to expose the Iranian intelligence and military establishments’ operations in Iran and throughout the Middle Eastern region. These efforts included groups such as Lab Dookhtegan, the “Green Leakers” (Afshagaran-e Sabz), “Black Box” (Resaneh Khabari Jabeh Siah), and “Hidden Reality” (Vaghiyate Penhaan). The latter reported on the activities of an alleged contractor, the Rana Institute, which we discuss in greater detail below. As of this writing, Insikt Group has not comprehensively corroborated all the information and missions these groups claim to uphold against the Islamic Republic. While these entities purport to act against Tehran, and have disseminated extensive information against an APT group as well as Iranian intelligence, we assess it is also possible that one or more of these groups was established with the objective of executing disinformation.

Kaspersky Labs a publié deux rapports en août et décembre 2019 établissant un lien possible entre des acteurs malveillants russes et la fuite de données du Rana Institute. Sur la base d'une analyse des documents divulgués, de l'infrastructure et du site web dédié, les rapports ont conclu que les auteurs de la menace étaient liés à la Direction principale du General Staff des forces armées de la Fédération de Russie (GRU). Toutefois, au moment de la rédaction du présent rapport, Recorded Future n'est pas en mesure de confirmer la validité de cette évaluation.

Dans un autre cas, Recorded Future a fait état du décès présumé d'un haut responsable du programme cyber iranien, Mohammad Hussein Tajik, qui a été évoqué dans des articles consacrés à la hiérarchie des hackers iraniens et aux efforts de désinformation entourant la capture par l'IRGC-IO du dissident Ruhollah Zam. À l'heure où nous écrivons ces lignes, les informations diffusées à propos du programme cybernétique iranien à des dissidents tels que Zam n'ont pas été corroborées. Zam a été à plusieurs reprises victime d'attaques visant à diffamer sa réputation, et a été dénoncé par les services secrets iraniens comme étant victime de leurs opérations de renseignement. Nous estimons que ces activités ont probablement été menées dans le but de discréditer Zam et de saper la confiance accordée à ses sources et à ses méthodes. Les informations fournies par Zam impliquaient l'Iran dans des cyberopérations internationales contre les États-Unis, l'Arabie saoudite et la Turquie, et le reliaient également à une installation opérationnelle, le Centre Khaybar, d'où ces attaques auraient été lancées. Selon les informations fournies par Zam, cette installation fonctionne comme un centre de fusion où sont présents des membres des principaux services de renseignement iraniens.

Si les efforts de désinformation émanant d'Iran restent une menace crédible, nous estimons que des acteurs extérieurs à la région pourraient également tenter de détourner les efforts de détection et d'attribution en se faisant passer pour des groupes APT iraniens. Nous estimons que cela pourrait inclure l'utilisation d'une infrastructure de serveurs (C2) précédemment affiliée à des acteurs malveillants iraniens, tels que APT33, APT35 et MuddyWater. Nous avons souligné cette possibilité dans notre rapport Operation Gamework de décembre 2019, qui révélait des similitudes entre C2 et des logiciels malveillants utilisés par le groupe APT russe BlueAlpha.

Politicizing the Intelligence Establishment

Due to the Iranian intelligence establishment’s history of leaks, and periods of increased politicization and factionalism, we assess that Iran’s security sphere likely remains volatile.

Des rapports open source en farsi soulignent que le MOIS iranien a connu une recrudescence des factions, ce qui a probablement nui à la capacité de l'agence à garantir son champ d'action. Des informations rendues publiques indiquent en outre que des luttes politiques intestines ont affecté plusieurs niveaux des services de renseignement, opposant le chef de l'IRGC-IO, Hossein Taeb, à l'ancien dirigeant du MOIS, Heydar Moslehi, et à divers responsables politiques, dont l'ancien président Mahmoud Ahmadinejad (2005-2013) et Sadeq Larijani. Le dirigeant de l'IRGC-IO aurait soutenu des opérations de renseignement contre des groupes politiques iraniens qui détenaient des preuves compromettantes contre l'IRGC, notamment des cas de corruption.

Sous l'ancien président Mohammad Khatami (1997-2005), le MOIS aurait procédé à une purge des agents et partisans radicaux, ce qui aurait finalement conduit l'agence à renoncer à ses opérations internationales agressives et à modérer son discours^. Entre 1997 et 1998, le Guide suprême Khamenei aurait promu la mission de renseignement du CGRI au rang de direction. À partir de ce moment, la direction du renseignement du CGRI a commencé à exercer des fonctions similaires à celles du MOIS, ce qui, selon nous, a contribué au chevauchement des efforts visant à lutter contre les menaces à la sécurité nationale.

Sous l'ancien président Ahmadinejad, le MOIS aurait connu une instabilité accrue après le soulèvement de 2009, avec des purges menées par le CGRI contre des agents du MOIS. Des rapports publics mentionnent également comment Ahmadinejad a tenté d'utiliser le MOIS pour accumuler des kompromat (« documents compromettants ») contre ses rivaux politiques. Les intentions des partisans de la ligne dure de mettre fin au réformisme iranien mené par Khatami et son prédécesseur Rafsandjani ont été clairement exprimées dans une déclaration intitulée « La nouvelle ère et nos responsabilités » (dowlat-e jadid va masooliat-haye ma), rédigée par des membres éminents du mouvement Ansar Hezbollah, proche des partisans de la ligne dure et du Corps des gardiens de la révolution islamique. La déclaration a émis un avertissement et a exigé que le premier gouvernement d'Ahmadinejad empêche le MOIS de continuer à s'orienter vers les changements de l'ère Khatami et, vraisemblablement, vers un service de renseignement iranien moins susceptible de mener des opérations internationales motivées par des considérations idéologiques.

Le MOIS a connu des cas similaires de politisation sous l'actuel président Hassan Rohani (depuis 2013). Le ministre iranien du Renseignement, Mahmoud Alavi, a été critiqué pour son manque de compétences en matière de renseignement et de sécurité, et a par la suite été la cible d'attaques à motivation politique orchestrées par des éléments radicaux. À l'instar de la présidence de Khatami, Rohani a entamé son mandat avec un programme réformateur, qui comprenait notamment la modération du MOIS et le renforcement de sa responsabilité. Selon la BBC, Rohani aurait utilisé cette agence dans des affaires de corruption, ce qui l'a encore davantage enfoncée dans une lutte politique acharnée visant à évincer le CGRI et ses partisans des secteurs clés de l'économie iranienne.

Selon un reportage de la BBC, le MOIS a été, à au moins trois reprises, surpassé et ses décisions rejetées par les activités parallèles et l'influence de l'IRGC-IO. Il s'agirait notamment de l'arrestation de responsables de chaînes Telegram pro-réformistes, de membres de l'équipe de négociation du Plan d'action global conjoint (JCPOA) de Rohani pour espionnage, ainsi que de militants écologistes. Sous Rohani, le MOIS aurait continué à perdre ses pouvoirs au profit du CGRI-IO dans le domaine de la sécurité nationale, en particulier dans les domaines du contre-espionnage et de la lutte contre la subversion intérieure.

Impact on the Iranian Cyber Cadre

The increased level of factionalism in the Iranian intelligence establishment is likely to have impacted Iran’s cyber forces. Insikt Group assesses the direct results of the political infighting is likely to have trickled down to Iranian cyber operators, which to date publicly support one side or another (MOIS or the IRGC).

Social media chatter, for example, has shed light on the disagreements and taunts between Iran-based cyber operators supporting the IRGC, such as Armin Rad (also known as “Ayoub Tightiz”) and Mohammad Jorjandi, who has often criticized Rad and his support base.² Additionally, according to Jorjandi, who is reportedly based in the U.S., as of this writing, the hack and leak operations tied to Lab Dookhtegan are allegedly borne out of the competition between the MOIS and the IRGC, where the latter has purposefully leaked information about MOIS to damage its reputation and standing.

Although we can not corroborate Jorjandi’s statements, the alleged targeting of MOIS as depicted by Lab Dookhtegan has included members of APT34, such as Yashar Shahinzadeh. Our observations of Shahinzadeh’s social media chatter suggest he has sided against pro-IRGC regime hackers like Rad, and has attempted to assist members of the elected government, in particular the Minister of Information and Communications Technology, Mohammad Javad Jahromi. This assistance has predominantly centered on detecting vulnerable government databases.

Outlook

Iran’s cyber actors are uniquely placed to continue to deflect attribution attempts, primarily due to the increasing number of actors catering to Iran’s different intelligence centers. Whether the IRGC-IO, the Quds Force, MODAFL, or MOIS, the entities remain at the forefront of Iranian cyber capabilities, and are able to lead international attacks. Public information also points to these entities using a community of contractors to pursue their intelligence targets, and we assess this to remain a significant characteristic of Iran’s cyber ecosystem in the future.

With a more skilled cyber cadre, more effective tooling, and more robust operational security measures, including the ability to produce and distribute disinformation, Iranian cyber operations are likely to continue to swiftly target Middle Eastern nations and the international community as a whole. Iran’s security services will also highly likely continue to target Iran’s diaspora and ethnic minority communities, both of which pose a threat to Tehran’s perceived domestic stability.

Mitigations

• Interested stakeholders should leverage structured analytic techniques, such as red hat analysis and deception detection, to aid in more refined attribution attempts, while also mitigating disinformation efforts by cyber adversaries.
• Remain abreast of political developments in Iran to observe activities that impact the intelligence landscape (such as corruption scandals, power struggles, arrests of journalists and activists, reshuffling leaders of intelligence groups, use of foreign technologies, prohibition of the use of social media, and so on).
• Farsi-language dissident reporting regularly covers activities pertinent to crackdowns against minority groups, protestors, and arrests of foreign and dual nationals. These sources also usually provide insight into the intelligence and military organizations involved in the arrests and their claimed motives.
• Iranian cyber operators maintain a relatively public presence on Instagram and Telegram. These public sources may provide insight into the organizational developments, training, political insight, and their operational network.
• To prevent and mitigate disinformation efforts, we recommend verifying and corroborating Iranian cyber developments sourced from social media and publicly-available messaging platforms.
• Campaign tracking of Iranian APT groups will not only provide insight on the TTPs, but also the victimology, which serves to deepen understanding about organizational interests.

Note de l'éditeur : cet article est un extrait d'un rapport complet. Pour lire l'intégralité de l'analyse, click here to download the report as a PDF.

Footnotes

¹S. Chubin, Wither Iran?: Reform, Domestic Politics and National Security, New York, Oxford University Press, 2002, P. 91.

²https[:]//www.tabnak[.]ir/fa/news/816849