С марта нынешнего года некто Lab Dookhtegan публикует на канале в Telegram исходные коды вредоносных инструментов из арсенала APT34 – группировки, связываемой ИБ-экспертами с правительством Ирана. Хотя инструментам APT34 далеко до эксплоитов и программ АНБ, они все равно очень опасны.
На Telegram-канале уже опубликованы шесть инструментов:
Помимо инструментов для взлома, Lab Dookhtegan также выкладывает данные, похищенные у жертв группировки. В основном это логины и пароли, полученные через фишинговые страницы. В некоторых случаях также указана информация о внутренних серверах и IP-адреса.
Данные принадлежат 66 сотрудникам государственных и частных организаций в странах Среднего Востока (большая часть), Африки и Европы. Среди жертв APT34, чьи данные оказались опубликованы на канале в Telegram, значатся национальная авиакомпания ОАЭ Etihad Airways и энергетическая компания Emirates National Oil.
Lab Dookhtegan также опубликовал сведения о прошлых операциях APT34, в частности списки IP-адресов и доменов, где группировка хранила свои инструменты. Кроме того, он выложил массив данных служащих Министерства информации и национальной безопасности Ирана, включая имена, номера телефонов и фотографии служащих министерства, участвовавших в операциях APT34. В некоторых случаях также указаны электронные адреса, сведения о роли в операциях и страницы в соцсетях.