Predatory Sparrow olarak bilinen gelişmiş bir siber sabotaj grubu, son birkaç yılda İran’ın kritik altyapısını hedef alan en yıkıcı tehdit aktörlerinden biri olarak ortaya çıktı.
Mali kazanca odaklanan geleneksel siber suç operasyonlarının aksine, bu grup, temel hizmetleri felce uğratmak, hassas verileri yok etmek ve kışkırtıcı siyasi mesajlar göndermek için tasarlanmış son derece yıkıcı kampanyalar yürütüyor.
Güvenlik araştırmacıları ve istihbarat analistleri, Predatory Sparrow’un İsrail desteğiyle çalıştığına ve faaliyetlerini İsrail ile İran arasında 2019’dan bu yana dramatik bir şekilde yoğunlaşan devam eden siber gölge savaşının daha geniş bağlamı içinde konumlandırdığına inanıyor.
Predatory Sparrow, İran’ın ulusal altyapısının çeşitli bölümlerine sızma ve sabote etme konusunda endişe verici bir yetenek sergiledi.
Grup, uluslararası ilgiyi ilk kez Temmuz 2021’de İran’ın ulusal demiryolu sistemini başarıyla ele geçirerek, yaygın operasyonel felce neden olarak ve ülke çapındaki istasyon bilgi panolarında “siber saldırı” mesajını sergileyerek kazandı.
Bu saldırıda, “Meteor” olarak bilinen gelişmiş, yıkıcı bir kötü amaçlı yazılım parçası kullanıldı; bu silici, virüs bulaşmış sistemleri tamamen çalışmaz hale getirirken izinsiz girişe ilişkin adli kanıtları da silmek için özel olarak tasarlanmıştı.
Grubun operasyonları, Haziran 2022’de Predatory Sparrow’un İran’daki bir çelik üretim tesisine düzenlenen ve büyük bir yangını tetikleyen, önemli fiziksel hasara ve üretimin durmasına neden olan siber saldırının sorumluluğunu üstlenmesiyle önemli ölçüde arttı.
Bu olay, siber savaş taktiklerinde endişe verici bir evrime işaret etti ve dijital saldırıların, endüstriyel güvenlik ve ulusal ekonomik güvenlik açısından potansiyel olarak yıkıcı sonuçlarla birlikte gerçek dünyadaki kinetik etkilere nasıl dönüşebileceğini gösterdi.
Aralık 2023’te Predatory Sparrow, İran’ın ülke çapındaki benzin istasyonu ağını hedef alarak en yaygın aksaklık kampanyalarından birini gerçekleştirdi.
Grup, İran’ın yakıt pompalarının büyük çoğunluğunu devre dışı bırakarak sıradan vatandaşlar için kaos yarattığını ve tüm ülke genelinde günlük yaşamı etkileme yeteneklerini sergilediğini iddia etti.
Grup, sosyal medya platformu X’te (eski adıyla Twitter) yayınlanan bir açıklamada, operasyonu İslam Cumhuriyeti ve onun bölgesel vekillerinin eylemlerine karşı bir misilleme olarak nitelendirdi ve teknik operasyonlarına eşlik eden açıkça siyasi mesajları sergiledi.
Yırtıcı Serçe Saldırıları
Grubun en son ve mali açıdan yıkıcı operasyonları Haziran 2025’te, İsrail’in İran hedeflerine yönelik askeri hava saldırılarından kısa bir süre sonra gerçekleşti.
Predatory Sparrow, İran’ın mali altyapısına karşı koordineli saldırılar başlattı ve ilk olarak grubun tam bir veri silme operasyonu olarak tanımladığı operasyonla devlete ait Bank Sepah’ı hedef aldı.
Saldırganlar, bankayı İran’ın askeri aygıtlarını finanse etmekle suçladı ve dijital sistemlerini tamamen çalışmaz hale getirerek potansiyel milyonlarca müşterinin bankacılık hizmetlerini kesintiye uğrattığını iddia etti.
Ertesi gün Predatory Sparrow, İran’ın en büyük kripto para borsası Nobitex’e olağanüstü derecede yıkıcı bir saldırı gerçekleştirdi.
Grup, yaklaşık 90 milyon dolarlık kripto para varlığını, erişilemeyen blockchain adreslerine aktararak “yaktığını” ve bu fonları kalıcı olarak kurtarılamaz hale getirdiğini iddia etti.
Yaralanmanın üzerine hakaret ekleyen saldırganlar, Nobitex’in tam kaynak kodunu, ayrıntılı altyapı belgelerini ve hassas dahili araştırma ve geliştirme materyallerini kamuoyuna açıkladı.
Bu büyük veri ihlali, yalnızca anında mali kayıplara yol açmakla kalmadı, aynı zamanda borsaya veya benzer platformlara yönelik gelecekteki saldırıları kolaylaştırabilecek kritik operasyonel güvenlik açıklarını ve fikri mülkiyet haklarını da açığa çıkardı.
Gelişmiş Saldırı Metodolojisi
Predatory Sparrow’un operasyonlarının teknik analizi, gelişmiş taktikler, teknikler ve prosedürler kullanan son derece karmaşık bir düşmanın ortaya çıktığını ortaya koyuyor.
Grup, hedef ağların haritasını çıkarmak ve kritik sistemleri belirlemek için genellikle kapsamlı saldırı öncesi gözetim gerçekleştirerek kapsamlı keşif yetenekleri sergiliyor.
Meteor silecek kötü amaçlı yazılımları, şifrelenmiş yapılandırma dosyaları ve günlükler içeriyor ve bu da adli analizleri olay müdahale ekipleri için önemli ölçüde daha zorlu hale getiriyor.
Saldırı zinciri genellikle güvenliği ihlal edilmiş VPN kimlik bilgileri veya halka açık uygulamaların kötüye kullanılması yoluyla ilk erişimle başlar.
Predatory Sparrow, hedef ağlara girdikten sonra, Windows Defender dışlama listelerine kötü amaçlı dosyalar eklemek ve Kaspersky gibi üçüncü taraf antivirüs yazılımlarını kaldırmaya çalışmak da dahil olmak üzere, güvenlik kontrollerini sistematik olarak devre dışı bırakan toplu komut dosyaları dağıtır.
Grup aynı zamanda yerel yardımcı programları kullanarak Windows olay günlüklerini temizlemek, faaliyetlerine ilişkin kanıtları etkili bir şekilde silmek gibi adli tıp karşıtı teknikler de kullanıyor.
Yıkıcı yükleri, maksimum hasarı sağlamak ve sistemin kurtarılmasını önlemek için birden fazla mekanizma uygular.
Buna, “vssadmin.exe delete shadows /all /quiet” gibi komutlar kullanılarak tüm birim gölge kopyalarının silinmesi ve virüslü makinelerin yeniden başlatılmasını önlemek için önyükleme yapılandırma verilerinin sabote edilmesi de dahildir.
Kötü amaçlı yazılımın bazı çeşitleri, yolcu bilgi sistemlerinde çalıştırılmayı önlemek için ana bilgisayar adlarını bile kontrol ederek mesajlarının halka açık panolarda düzgün bir şekilde görüntülenmesini sağlarken siyasi beyanlarını iletmek için gereken altyapıyı da koruyor.
Predatory Sparrow’un ortaya çıkışı, karmaşık teknik yeteneklerin, kritik ulusal altyapıda kademeli kesintiler yaratmak için açıkça yıkıcı niyetle birleştiği devlet destekli siber operasyonlarda tehlikeli bir evrimi temsil ediyor.
Bu tehdit aktörü tekniklerini geliştirmeye ve hedef portföyünü genişletmeye devam ettikçe, bu tür kararlı düşmanlara karşı savunma yapmak, kapsamlı güvenlik doğrulaması, sürekli izleme ve gerçek saldırılar gerçekleşmeden önce savunma açıklarını belirlemek için gelişmiş kalıcı tehdit senaryolarını simüle etme becerisini gerektirir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.