Selon blog.narimangharib.com (Nariman Gharib, 22.08.2025), le groupe Lab‑Dookhtegan a mené en août une opération ayant coupé et endommagé durablement les communications de 64 navires iraniens (39 pétroliers NITC et 25 cargos IRISL), après une première campagne revendiquée en mars contre 116 bâtiments. Les preuves techniques partagées au blog attestent d’un accès aux systèmes de Fanava Group, prestataire IT fournissant les liaisons satellites de la flotte. 🛰️🚢
Les assaillants n’ont pas attaqué les navires individuellement mais ont compromis l’infrastructure centrale de Fanava, obtenant un accès root à des terminaux Linux exécutant le logiciel satellite iDirect (version 2.6.35). Des extractions MySQL montrent une cartographie détaillée de la flotte (navire par navire, modem par modem) avec numéros de série et identifiants réseau. Le ciblage du logiciel « Falcon », cœur de la continuité des liaisons, a permis de mettre hors service les communications des bâtiments.
Des journaux d’e-mails (« Node Down Notification ») indiquent une présence persistante dès mai-juin, confirmant que Lab‑Dookhtegan a conservé le contrôle pendant environ cinq mois avant de déclencher en août une phase de sabotage massif. Des commandes d’effacement de bas niveau (ex. « dd if=/dev/zero of=/dev/mmcblk0p1 bs=1M ») montrent la destruction systématique de plusieurs partitions, supprimant journaux de navigation, archives, configurations et partitions de récupération.
Les attaquants ont également exfiltré la configuration de la téléphonie IP (numéros, adresses IP, mots de passe en clair tels que « 1402@Argo » et « 1406@Diamond »), ouvrant la voie à une interruption des communications vocales et à d’éventuelles usurpations. L’article souligne que la remédiation requiert une intervention physique sur chaque navire pour réinstaller intégralement les systèmes, avec un potentiel d’immobilisation de plusieurs semaines à mois. Le contexte mentionne que NITC et IRISL, déjà lourdement sanctionnées, voient leur logistique clandestine gravement affectée, et que l’attaque intervient alors que le Trésor américain a ajouté 13 sociétés à sa liste de sanctions liées au pétrole iranien.
IOCs et TTPs observés:
- Accès root à des terminaux Linux exécutant iDirect v2.6.35; ciblage du composant « Falcon ».
- Persistance de mai/juin à août; surveillance via alertes « Node Down Notification ».
- Cartographie de flotte via dumps MySQL (modems, IDs, navires ex. Touska, Mahnam, Zardis).
- Sabotage/effacement: commandes dd sur /dev/mmcblk0p* (écriture de zéros, destruction partitions y compris recovery).
- Exfiltration de configurations VoIP (numéros, IP, mots de passe en clair: « 1402@Argo », « 1406@Diamond »).
Il s’agit d’une analyse technique/chronique d’opération visant à exposer les méthodes, la portée et l’impact d’une campagne de sabotage ciblant l’infrastructure maritime iranienne.
🧠 TTPs et IOCs détectés
TTPs
Accès root à des terminaux Linux exécutant iDirect v2.6.35; ciblage du composant ‘Falcon’. Persistance de mai/juin à août; surveillance via alertes ‘Node Down Notification’. Cartographie de flotte via dumps MySQL (modems, IDs, navires). Sabotage/effacement: commandes dd sur /dev/mmcblk0p* (écriture de zéros, destruction partitions y compris recovery). Exfiltration de configurations VoIP (numéros, IP, mots de passe en clair).
IOCs
Mots de passe en clair: ‘1402@Argo’, ‘1406@Diamond’. Navires: Touska, Mahnam, Zardis.
🔗 Source originale : https://blog.narimangharib.com/posts/2025%2F08%2F1755854831605?lang=en