Predatory Sparrow, Ortadoğu’daki kritik altyapıyı hedef alan en yıkıcı siber sabotaj gruplarından biri olarak ortaya çıktı ve operasyonları öncelikli olarak İran ve Suriye varlıklarına odaklandı.
İsrail çıkarlarıyla bağlantılı olduğuna inanılan hacktivist grup, 2019’dan 2025’e kadar demiryollarını, çelik fabrikalarını, finans kurumlarını ve akaryakıt dağıtım ağlarını hedef alan bir dizi yıkıcı siber saldırı düzenledi.
Kampanyaları, fiziksel bozulmanın yanı sıra psikolojik etkiyi en üst düzeye çıkarmak için tasarlanmış kasıtlı veri imhası, operasyonel felç ve kışkırtıcı kamuya açık mesajlaşma ile karakterize ediliyor.
Grubun operasyonel zaman çizelgesi, giderek artan bir karmaşıklık ve yıkım modelini ortaya koyuyor. 2019-2020’deki ilk saldırılar, aralarında Alfadelex Trading ve Cham Wings Airlines’ın da bulunduğu Suriyeli kuruluşları hedef alarak ağ sızma konusundaki yeteneklerini ortaya koydu.
Ancak en önemli operasyonları Temmuz 2021’de İran’ın ulusal demiryolu sistemine karşı “Meteor” temizleme kötü amaçlı yazılımını konuşlandırarak yaygın hizmet kesintilerine neden olmaları ve istasyon panolarında alaycı mesajlar göstermeleriyle gerçekleşti.
Bu saldırı, kritik ulusal altyapıyı hassas zamanlamayla tehlikeye atma yeteneklerini gösterdi.
Yakın zamanda Predatory Sparrow, yıkıcı etkisi olan finansal altyapıyı da kapsayacak şekilde hedeflemesini genişletti.
İsrail’in Haziran 2025’te İran’a düzenlediği hava saldırılarının ardından grup, Bank Sepah ve Nobitex kripto para borsasına karşı koordineli saldırılar başlattı.
Nobitex ihlalinde, varlıkları erişilemez adreslere aktararak 90 milyon dolarlık kripto para birimini kalıcı olarak kurtarılamaz hale getirdiklerini ve aynı zamanda borsanın tüm kaynak kodunu ve altyapı belgelerini sızdırdıklarını iddia ettiler.
Picussecurity analistleri, İran demiryolu olayına ilişkin soruşturmalar sırasında grubun karmaşık çok aşamalı saldırı metodolojisini belirledi.
Analizleri, Predatory Sparrow’un kalıcılık sağlamak, savunmaları devre dışı bırakmak ve yıkıcı silecekleri devreye sokmak için karmaşık bir toplu komut dosyaları ve şifrelenmiş yükler zinciri kullandığını ortaya çıkardı.
Grup, yükün uygulanmasından önce belirli hedef sistemleri belirlemek için keşif yaparak ileri düzeyde çevre bilinci sergiliyor.
Teknik Uygulama ve Silecek Dağıtım Mekanizmaları
Predatory Sparrow’un saldırılarının teknik mimarisi, şifrelenmiş yapılandırma dosyalarını ve çok aşamalı toplu komut dosyası yürütmeyi kullanan özel Meteor silme kötü amaçlı yazılımlarına odaklanıyor.
Saldırı zinciri, belirli Yolcu Bilgi Sistemi sunucularına (PIS-APP, PIS-MOB, WSUSPROXY, PIS-DB) karşı ana bilgisayar adı doğrulaması gerçekleştiren bir setup.bat komut dosyasıyla başlar ve saldırganın mesajlarının halka açık panolarda görünmesini garanti ederken kötü amaçlı yüklerin görüntüleme sistemlerinde yürütülmesini önler.
Msrun.bat betiği, Windows Görev Zamanlayıcı aracılığıyla 23:55:00’da yürütülecek şekilde yapılandırılmış zamanlanmış bir görev oluşturarak, silici verisi için dağıtım mekanizması görevi görür.
Temizleme işleminin yürütülmesinden önce, Cache.bat betiği, PowerShell komutlarını kullanarak tüm ağ bağdaştırıcılarını sistematik olarak devre dışı bırakır: –
powershell -Command "Get-WmiObject -class Win32_NetworkAdapter | ForEach { If ($.NetEnabled) { $.Disable() } }" > NULSavunmadan kaçınma teknikleri, Güvenlik, Sistem ve Uygulama günlüklerini hedef alan wevtutil komutları aracılığıyla Windows Olay Günlüklerinin temizlenmesini ve adli kanıtların etkili bir şekilde silinmesini içerir:
wevtutil cl system
wevtutil cl application
wevtutil cl securityMeteor temizleyici, yapılandırma dosyası (msconf.conf) ve günlük dosyaları için XOR tabanlı şifreleme kullanır. Araştırmacılar, kötü amaçlı yazılımın dahili operasyonlarını ortaya çıkaran Python şifre çözme yardımcı programlarını geliştirdiler:
from malduck import xor, u32
def decode_buffer(buf, key):
results = ""
for k,v in enumerate(buf):
results += chr(((k % 256) + key[k % len(key)] ^ v) & 0xff)
return resultsSistemin tamamen yok edilmesini sağlamak için bcd.bat betiği, önyükleme yapılandırma verilerini yönetir ve birim gölge kopyalarını kaldırarak kurtarmayı engeller:
vssadmin.exe delete shadows /all /quiet
wmic.exe shadowcopy deleteVeri imhası ve sistem sabotajına yönelik bu kapsamlı yaklaşım, Predatory Sparrow’un İran çıkarlarına karşı misilleme amaçlı siber savaş misyonuyla uyumlu olarak veri sızdırmak yerine geri dönüşü olmayan hasara neden olmaya odaklandığını gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
