İsrail Bağlantılı Bir Grup Hacker Siber Savaşın Sınırlarını Nasıl Zorladı?


Grubu yıllardır takip eden siber güvenlik firması SentinelOne analisti Juan Andres Guerrero-Saade, Predatory Sparrow’un en çok, saldırılarıyla belirli bir jeopolitik mesaj gönderme konusundaki belirgin ilgisiyle öne çıktığını söylüyor. Bu mesajların hepsi bir temanın varyasyonları: İsrail’e veya müttefiklerine saldırırsanız, medeniyetinizi derinden sarsma yeteneğine sahibiz. Guerrero-Saade, “İran’a anlamlı yollarla ulaşıp dokunabileceklerini gösteriyorlar” diyor. “Diyorlar ki, ‘Bu vekalet savaşlarında Husileri, Hamas’ı ve Hizbullah’ı destekleyebilirsiniz. Ama biz, Yırtıcı Sparrow olarak, bulunduğumuz yerden ayrılmamıza gerek kalmadan ülkenizi parça parça parçalayabiliriz.’”

Burada Predatory’nin son derece yıkıcı siber saldırılara ilişkin kısa ama seçkin geçmişinin kısa bir tarihçesini bulabilirsiniz.

2021: Tren Kaosu

Temmuz 2021’in başlarında, İran’ın ulusal demiryolu sistemindeki tarifeleri gösteren bilgisayarlar, İran’ın Dini Lideri Ali’nin ofisinin telefon numarasıyla birlikte “siber saldırı nedeniyle uzun gecikme” veya basitçe “iptal edildi” mesajını belirten Farsça mesajlar göstermeye başladı. Hamaney, sanki İranlıların güncellemeler için ya da şikayet için bu numarayı aramalarını öneriyormuş gibi. SentinelOne’dan Guerrero-Saade, Meteor Express adını verdiği saldırıda kullanılan kötü amaçlı yazılımı analiz etti ve bilgisayar korsanlarının bilgisayarların dosya sistemlerini yok eden, kullanıcıları kilitleyen ve ardından ana önyükleme kaydını silen üç aşamalı bir silme programı kullandıklarını buldu. Makineler başlatıldığında işletim sistemlerini bulmak için kullanırlar. İran’ın Fars radyo istasyonu, siber saldırının sonucunun “benzeri görülmemiş bir kaos” olduğunu bildirdi ancak daha sonra bu ifadeyi sildi.

Aynı sıralarda, İran Yollar ve Şehircilik Bakanlığı ağındaki bilgisayarlara da silme aracı çarptı. İsrailli güvenlik firması CheckPoint’in kötü amaçlı silme yazılımı üzerinde yaptığı analiz, bilgisayar korsanlarının yıllar önce Suriye’de İran bağlantılı hedeflere girerken muhtemelen aynı araçların farklı versiyonlarını kullandıklarını ortaya çıkardı; bu vakalarda, Hindu tanrısının adını taşıyan bir hacker grubu kisvesi altındaydı. fırtınalar, Indra.

Predatory Sparrow, Telegram kanalında Farsça bir gönderide şunları yazdı: “Vatandaşlarımızın güvenliğini korurken bu siber saldırıdaki amacımız, hükümet bakanlıklarının ve kuruluşlarının ulusa izin verdiği istismar ve zulümden duyduğumuz tiksintiyi ifade etmektir.” Saldırıların sorumluluğunu üstlenirken İranlı bir hacktivist grup gibi davrandığını söyledi.

2021: Benzin İstasyonu Felci

Sadece birkaç ay sonra, 26 Ekim 2021’de Predatory Sparrow yeniden saldırdı. Bu kez, İran vatandaşlarına dağıtılan benzin destek kartlarıyla ödeme kabul etmek için kullanılan sistemi ortadan kaldırarak, İran genelinde 4.000’den fazla benzin istasyonundaki (ülkedeki tüm yakıt pompalarının çoğunluğu) satış noktası sistemlerini hedef aldı. İranlı göçmen ve siber güvenlik firması DarkCell’in kurucusu Hamid Kashfi, saldırıyı analiz etti ancak ayrıntılı bulgularını ancak geçen ay yayınladı. Saldırının zamanlamasının, İran hükümetinin akaryakıt sübvansiyonlarını azaltma girişiminden tam iki yıl sonra geldiğini ve bunun ülke çapında isyanları tetiklediğini belirtiyor. Demiryolu saldırısını hatırlatan bilgisayar korsanları, yakıt pompası ekranlarında Dini Lider’in telefon numarasını içeren bir mesaj görüntülediler; sanki bu gaz kesintisinden İran hükümetini de sorumlu tutacakmış gibi. Kashfi, “Bütünsel bir bakış açısıyla bakıldığında bu, ülkede yeniden isyanların tetiklenmesine yönelik bir girişim gibi görünüyor” diyor ve ekliyor: “Hükümet ile halk arasındaki uçurumu artırmak ve gerilimi daha da artırmak.”

Saldırı, İran genelindeki benzin istasyonlarında günlerce süren uzun kuyruklara yol açtı. Ancak Kashfi, devasa etkilerine rağmen benzin istasyonu saldırısının Predatory Sparrow’un gerçek itidal gösterdiği bir saldırıyı temsil ettiğini savunuyor. Kendisi, İranlı olay müdahale ekipleri tarafından kötü amaçlı yazılım deposu VirusTotal’a yüklenen ayrıntılı verilere dayanarak, bilgisayar korsanlarının benzin istasyonlarının ödeme altyapısına yeterli erişime sahip oldukları, tüm sistemi yok ettikleri, benzin istasyonlarında yazılımın manuel olarak yeniden yüklenmesine ve hatta benzin istasyonlarında yazılımların yeniden yüklenmesine neden oldukları sonucunu çıkardı. sübvansiyon kartları. Bunun yerine, satış noktası sistemlerini nispeten hızlı bir iyileşmeye olanak sağlayacak şekilde sildiler.



Source link