كيف قامت مجموعة من المتسللين المرتبطين بإسرائيل بتجاوز حدود الحرب السيبرانية
تتميز شركة Predatory Sparrow في المقام الأول باهتمامها الواضح بإرسال رسالة جيوسياسية محددة من خلال هجماتها، كما يقول خوان أندريس غيريرو ساد، المحلل في شركة الأمن السيبراني SentinelOne الذي يتتبع المجموعة لسنوات. هذه الرسائل كلها عبارة عن اختلافات في موضوع: إذا هاجمت إسرائيل أو حلفائها، فلدينا القدرة على تعطيل حضارتك بشدة. يقول غيريرو سعادة: “إنهم يظهرون أنهم قادرون على التواصل مع إيران والتأثير عليها بطرق ذات معنى”. “إنهم يقولون: يمكنكم دعم الحوثيين وحماس وحزب الله في هذه الحروب بالوكالة. لكننا، العصفور المفترس، نستطيع تفكيك بلدك قطعة قطعة دون الحاجة إلى الانتقال من مكاننا».
فيما يلي لمحة تاريخية مختصرة عن سجل Predatory القصير ولكن المتميز من الهجمات الإلكترونية شديدة التخريب.
2021: قطار الفوضى
في أوائل يوليو من عام 2021، بدأت أجهزة الكمبيوتر التي تعرض الجداول الزمنية عبر نظام السكك الحديدية الوطني الإيراني في عرض رسائل باللغة الفارسية تعلن الرسالة “تأخير طويل بسبب الهجوم السيبراني”، أو ببساطة “تم الإلغاء”، إلى جانب رقم هاتف مكتب المرشد الأعلى الإيراني علي. خامنئي، وكأنه يقترح على الإيرانيين الاتصال بالرقم للحصول على تحديثات أو لتقديم شكوى. قام Guerrero-Saade من SentinelOne بتحليل البرامج الضارة المستخدمة في الهجوم، والذي أطلق عليه اسم Meteor Express، ووجد أن المتسللين قد نشروا برنامج مسح ثلاثي المراحل أدى إلى تدمير أنظمة ملفات أجهزة الكمبيوتر، وإغلاق المستخدمين، ثم مسح سجل التمهيد الرئيسي الذي تستخدم الأجهزة لتحديد نظام التشغيل الخاص بها عند بدء تشغيلها. وذكرت محطة إذاعة فارس الإيرانية أن نتيجة الهجوم السيبراني كانت “فوضى غير مسبوقة”، لكنها حذفت هذا البيان لاحقًا.
وفي الوقت نفسه تقريبًا، تعرضت أجهزة الكمبيوتر عبر شبكة وزارة الطرق والتنمية الحضرية الإيرانية لأداة المسح أيضًا. وكشف تحليل البرمجيات الخبيثة التي أجرتها شركة CheckPoint الأمنية الإسرائيلية أن المتسللين استخدموا على الأرجح إصدارات مختلفة من نفس الأدوات قبل سنوات أثناء اقتحام أهداف مرتبطة بإيران في سوريا، في تلك الحالات تحت ستار مجموعة قرصنة تحمل اسم الإله الهندوسي. العواصف، إندرا.
وكتبت شركة بريداتوري سبارو في منشور باللغة الفارسية على قناتها على تيليغرام: “هدفنا من هذا الهجوم السيبراني مع الحفاظ على سلامة مواطنينا هو التعبير عن اشمئزازنا من سوء المعاملة والقسوة التي تسمح بها الوزارات والمنظمات الحكومية للأمة”. أنها كانت تتظاهر بأنها مجموعة قرصنة إيرانية وأعلنت مسؤوليتها عن الهجمات.
2021: شلل محطة الوقود
وبعد بضعة أشهر فقط، في 26 أكتوبر 2021، ضرب العصفور المفترس مرة أخرى. هذه المرة، استهدفت أنظمة نقاط البيع في أكثر من 4000 محطة وقود في جميع أنحاء إيران – غالبية مضخات الوقود في البلاد – مما أدى إلى إسقاط النظام المستخدم لقبول الدفع عن طريق بطاقات دعم البنزين الموزعة على المواطنين الإيرانيين. وقام حامد كاشفي، وهو مهاجر إيراني ومؤسس شركة DarkCell للأمن السيبراني، بتحليل الهجوم لكنه نشر النتائج التفصيلية التي توصل إليها الشهر الماضي فقط. ويشير إلى أن توقيت الهجوم جاء بعد عامين بالضبط من محاولة الحكومة الإيرانية خفض دعم الوقود، مما أثار أعمال شغب في جميع أنحاء البلاد. وفي تكرار للهجوم على السكك الحديدية، عرض المتسللون رسالة على شاشات مضخات الوقود تحمل رقم هاتف المرشد الأعلى، كما لو أنهم يلومون الحكومة الإيرانية على انقطاع الغاز أيضًا. يقول كاشفي: “إذا نظرت إلى الأمر من وجهة نظر شمولية، يبدو الأمر وكأنه محاولة لإثارة أعمال الشغب مرة أخرى في البلاد، لزيادة الفجوة بين الحكومة والشعب والتسبب في مزيد من التوتر”.
أدى الهجوم على الفور إلى طوابير طويلة في محطات الوقود في جميع أنحاء إيران استمرت لأيام. لكن كاشفي يرى أن الهجوم على محطة الوقود، على الرغم من آثاره الهائلة، يمثل هجومًا أظهر فيه بريداتوري سبارو ضبط النفس الفعلي. واستنتج، استنادًا إلى البيانات التفصيلية التي تم تحميلها من قبل المستجيبين الإيرانيين للحوادث إلى مستودع البرامج الضارة VirusTotal، أن المتسللين لديهم ما يكفي من الوصول إلى البنية التحتية للدفع في محطات الوقود لتدمير النظام بأكمله، مما اضطرهم إلى إعادة التثبيت اليدوي للبرامج في محطات الوقود أو حتى إعادة إصدارها. بطاقات الدعم. وبدلا من ذلك، قاموا فقط بمسح أنظمة نقاط البيع بطريقة تسمح بالتعافي السريع نسبيا.