27 Haziran 2022 sabah saat 3’ü yaklaşık sekiz dakika geçe, İran’ın Basra Körfezi’ndeki batı kıyı şeridi yakınındaki Khouzestan çelik fabrikasında, parlak, erimiş metalden oluşan bir fıçı üzerine devasa bir kapak indirildi. Tesisin içindeki güvenlik kamerasından alınan görüntülere göre dev gemi, yakınlarda duran gri üniformalı ve kasklı iki işçiden birkaç kat daha uzundu ve muhtemelen birkaç bin Fahrenheit dereceye kadar ısıtılan yüz tondan fazla sıvı çeliği taşıyacak kadar büyüktü.
Videoda iki işçi çerçevenin dışına çıkıyor. Klip 10 dakika ileri atlayarak kesiliyor. Sonra aniden dev kepçe hareket ediyor ve kameraya doğru sabit bir şekilde sallanıyor. Bir saniyeden kısa bir süre sonra, yanan közler her yöne uçuşuyor, fabrikayı yangın ve duman dolduruyor ve akkor halindeki sıvı çeliğin, kazanın tabanından fabrika zeminine serbestçe döküldüğü görülebiliyor.
Videonun alt kısmında, bu siber kaynaklı kargaşanın sorumluluğunu üstlenen ve video klibi mesajlaşma hizmeti Telegram’daki kanallarına yayınlayan bilgisayar korsanları grubu Predatory Sparrow’un bir tür sorumluluk reddi beyanı yazıyor: “Bu belgede görebileceğiniz gibi video” yazıyor, “bu siber saldırı masum insanları korumak için dikkatli bir şekilde gerçekleştirildi.”
Videonun yakından izlenmesi aslında tam tersi bir şeyi ortaya koyuyor: Çelik fabrikası felaketi başladıktan sekiz saniye sonra, iki işçinin, selden sadece birkaç adım uzakta, pota tertibatının altından köz yağmurunun içinden koşarak çıktığı görülebiliyor. yanan sıvı metalden. Saldırıyı analiz eden endüstriyel odaklı siber güvenlik firması SCADAfence’ın baş teknoloji sorumlusu Paul Smith, “Pota çıkış noktasına daha yakın olsalardı pişmiş olurdu” diyor . “1.300 santigrat derece sıcaklıktaki erimiş çeliğin size çarptığını hayal edin. Bu anında ölümdür.”
OYNAT/DURAKLAT DÜĞMESI
Predatory Sparrow hacker grubunun İran’daki Khouzestan çelik fabrikasına yaptığı siber saldırının etkilerini gösteren videodan bir klip. Her ne kadar grup videonun metninde “masum bireyleri” korumaya özen gösterdiklerini iddia etse de iki çelik işçisinin (kırmızı daire içine alınmış) erimiş metalin dökülmesinden ve bunun sonucunda hackerların tetiklediği yangından kıl payı kurtulduğu görülebiliyor. TELEGRAM ARACILIĞIYLA YIRTICI SERÇE
Khouzestan çelik fabrikası sabotajı, tarihte fiziksel olarak yıkıcı etkileri olan bir siber saldırının yalnızca birkaç örneğinden birini temsil ediyor. Ancak Predatory Sparrow için bu, şimdiye kadar belgelenen en agresif saldırı olaylarından birkaçını içeren, yıllar süren dijital izinsiz giriş kariyerinin yalnızca bir parçasıydı. İran’daki üç çelik fabrikasını hedef alan, ancak yalnızca bir saldırı başarılı bir şekilde fiziksel yıkıma neden olan bu saldırıdan önceki ve sonraki yıllarda Predatory Sparrow, ülkenin demiryolu sistemi bilgisayarlarını sakatladı ve İran’ın benzin istasyonu pompalarının çoğunun ödeme sistemlerini bir değil iki kez bozdu. Geçen ay gerçekleşen saldırıda 4.000’den fazla benzin istasyonundaki satış noktası sistemleri bir kez daha devre dışı bırakıldı ve ülke çapında yakıt sıkıntısı yaşandı.
Aslında, kamuoyuna yaptığı açıklamalarda genellikle adının Farsça çevirisi olan Gonjeshke Darande ile anılan Yırtıcı Serçe, İsrail’in Hamas’la savaşının iki ülke arasındaki gerilimi daha da artırmasından çok önce, yıllardır İran’a sıkı sıkıya odaklanmıştı. Bilgisayar korsanları sıklıkla, İran’ın bilgisayar korsanlığı veya askeri vekiller yoluyla kendi saldırganlık eylemlerini takip eden yıkıcı saldırılarla İranlı sivil nüfusu hedef alıyor. Örneğin son benzin istasyonu saldırısı, İran bağlantılı bilgisayar korsanlarının dünyanın dört bir yanındaki su tesislerindeki İsrail yapımı ekipmanları ele geçirmesi ve İran destekli Husi isyancıların İsrail’e füze fırlatması ve Kızıldeniz’deki nakliye gemilerine saldırmasının ardından gerçekleşti. “Hamaney!” Predatory Sparrow, Twitter hesabında İran’ın dini liderine hitaben Farsça yazdı. “Bölgedeki şeytani provokasyonlarınıza karşı tepkimizi göstereceğiz.”
Predatory Sparrow hacktivist bir grup görünümünü korurken (çoğunlukla kendisi de İranlı bir grup görünümüne bürünüyor), teknik gelişmişliği bir hükümetin veya ordunun olası müdahalesine işaret ediyor. 2021’de The New York Times’a konuşan ABD savunma kaynakları, hackerların İsrail’le bağlantılı olduğunu belirtmişti . Ancak grubu takip eden bazı siber güvenlik analistleri, çoğu siber savaş tanımına uyan saldırılar gerçekleştirse bile , grubun ayırt edici özelliklerinden birinin itidal olduğunu, yani daha fazlasını başarabileceğini gösterirken neden olabileceği hasarı sınırlandırdığını söylüyor. En azından bir itidal görünümü elde etmeye çalışmak daha doğru olabilir: Çelik fabrikası saldırısında en az iki Khouzestan çalışanının fiziksel olarak tehlikeye atılması, güvenlik iddialarına karşı göze çarpan bir istisna teşkil ediyor.
Grubu yıllardır takip eden siber güvenlik firması SentinelOne analisti Juan Andres Guerrero-Saade, Predatory Sparrow’un en çok, saldırılarıyla belirli bir jeopolitik mesaj gönderme konusundaki belirgin ilgisiyle öne çıktığını söylüyor. Bu mesajların hepsi bir temanın varyasyonları: İsrail’e veya müttefiklerine saldırırsanız, medeniyetinizi derinden sarsma yeteneğine sahibiz. Guerrero-Saade, “İran’a anlamlı yollarla ulaşıp dokunabileceklerini gösteriyorlar” diyor. “Diyorlar ki, ‘Bu vekalet savaşlarında Husileri, Hamas’ı ve Hizbullah’ı destekleyebilirsiniz. Ama biz, Yırtıcı Sparrow olarak, bulunduğumuz yerden ayrılmamıza gerek kalmadan ülkenizi parça parça parçalayabiliriz.’”
Burada Predatory’nin son derece yıkıcı siber saldırılara ilişkin kısa ama seçkin geçmişinin kısa bir tarihçesini bulabilirsiniz.
2021: Tren Kaosu
Temmuz 2021’in başlarında, İran’ın ulusal demiryolu sistemindeki tarifeleri gösteren bilgisayarlar, İran’ın Dini Lideri Ali’nin ofisinin telefon numarasıyla birlikte “siber saldırı nedeniyle uzun gecikme” veya basitçe “iptal edildi” mesajını belirten Farsça mesajlar göstermeye başladı. Hamaney, sanki İranlıların güncellemeler için ya da şikayet için bu numarayı aramalarını öneriyormuş gibi. SentinelOne’dan Guerrero-Saade , Meteor Express adını verdiği saldırıda kullanılan kötü amaçlı yazılımı analiz etti ve bilgisayar korsanlarının bilgisayarların dosya sistemlerini yok eden, kullanıcıları kilitleyen ve ardından ana önyükleme kaydını silen üç aşamalı bir silme programı kullandıklarını buldu. Makineler başlatıldığında işletim sistemlerini bulmak için kullanırlar. İran’ın Fars radyo istasyonu, siber saldırının sonucunun “benzeri görülmemiş bir kaos” olduğunu bildirdi ancak daha sonra bu ifadeyi sildi.
Aynı sıralarda, İran Yollar ve Şehircilik Bakanlığı ağındaki bilgisayarlara da silme aracı çarptı. İsrailli güvenlik firması CheckPoint’in kötü amaçlı silme yazılımı üzerinde yaptığı analiz, bilgisayar korsanlarının yıllar önce Suriye’deki İran bağlantılı hedeflere girerken muhtemelen aynı araçların farklı versiyonlarını kullandıklarını ortaya çıkardı ; bu vakalarda, Hindu tanrısının adını taşıyan bir hacker grubu kisvesi altındaydı. fırtınalar, Indra.
Predatory Sparrow, Telegram kanalında Farsça bir gönderide şunları yazdı: “Vatandaşlarımızın güvenliğini korurken bu siber saldırıdaki amacımız, hükümet bakanlıklarının ve kuruluşlarının ulusa izin verdiği istismar ve zulümden duyduğumuz tiksintiyi ifade etmektir.” Saldırıların sorumluluğunu üstlenirken İranlı bir hacktivist grup gibi davrandığını söyledi.
2021: Benzin İstasyonu Felci
Sadece birkaç ay sonra, 26 Ekim 2021’de Predatory Sparrow yeniden saldırdı. Bu kez, İran vatandaşlarına dağıtılan benzin destek kartlarıyla ödeme kabul etmek için kullanılan sistemi ortadan kaldırarak, İran genelinde 4.000’den fazla benzin istasyonundaki (ülkedeki tüm yakıt pompalarının çoğunluğu) satış noktası sistemlerini hedef aldı. İranlı göçmen ve siber güvenlik firması DarkCell’in kurucusu Hamid Kashfi, saldırıyı analiz etti ancak ayrıntılı bulgularını ancak geçen ay yayınladı. Saldırının zamanlamasının, İran hükümetinin akaryakıt sübvansiyonlarını azaltma girişiminden tam iki yıl sonra geldiğini ve bunun ülke çapında isyanları tetiklediğini belirtiyor. Demiryolu saldırısını hatırlatan bilgisayar korsanları, yakıt pompası ekranlarında Dini Lider’in telefon numarasını içeren bir mesaj görüntülediler; sanki bu gaz kesintisinden İran hükümetini de sorumlu tutacakmış gibi. Kashfi, “Bütünsel bir bakış açısıyla bakıldığında bu, ülkede yeniden isyanların tetiklenmesine yönelik bir girişim gibi görünüyor” diyor ve ekliyor: “Hükümet ile halk arasındaki uçurumu artırmak ve gerilimi daha da artırmak.”
Saldırı, İran genelindeki benzin istasyonlarında günlerce süren uzun kuyruklara yol açtı. Ancak Kashfi, devasa etkilerine rağmen benzin istasyonu saldırısının Predatory Sparrow’un gerçek itidal gösterdiği bir saldırıyı temsil ettiğini savunuyor. Kendisi, İranlı olay müdahale ekipleri tarafından kötü amaçlı yazılım deposu VirusTotal’a yüklenen ayrıntılı verilere dayanarak, bilgisayar korsanlarının benzin istasyonlarının ödeme altyapısına yeterli erişime sahip oldukları, tüm sistemi yok ettikleri, benzin istasyonlarında yazılımın manuel olarak yeniden yüklenmesine ve hatta benzin istasyonlarında yazılımların yeniden yüklenmesine neden oldukları sonucunu çıkardı. sübvansiyon kartları. Bunun yerine, satış noktası sistemlerini nispeten hızlı bir iyileşmeye olanak sağlayacak şekilde sildiler.
Predatory Sparrow, Telegram hesabında satış noktası sistemleri satıcısı Ingenico’ya e-posta göndererek şirketi yazılımındaki yamalanmamış bir güvenlik açığı konusunda uyardığını iddia edecek kadar ileri gitti. ödeme sisteminin bozulması. (İlginçtir ki, bir Ingenico sözcüsü WIRED’e güvenlik ekibinin asla böyle bir e-posta almadığını söylüyor.)
Predatory Sparrow ayrıca Telegram’da İran’ın sivil acil servislerine kısa mesaj gönderdiğini ve saldırıdan önce araçlarına yakıt doldurmaları için bu acil servislere yaptığı uyarıların ekran görüntülerini yayınladığını yazdı. “Bunu çok sık görmüyorsun, değil mi?” Kaşfi diyor. “Çok temiz ve kontrollü hasar vermeyi seçtiler.”
2022: Çelik Fabrikasında Erime
Haziran 2022’de Predatory Sparrow tarihteki en küstah sibersabotaj eylemlerinden birini gerçekleştirdi ve İran’ın Khouzestan çelik fabrikasında erimiş çeliğin dökülmesini tetikleyerek tesiste yangına neden oldu.
Saldırıyı kendisinin gerçekleştirdiğini ve ilgisiz bir endüstriyel kazadan sorumlu olmadığını kanıtlamak için bilgisayar korsanları, çelik fabrikasının ekipmanlarını kontrol etmek için kullandığı sözde insan-makine arayüzünün veya HMI yazılımının ekran görüntüsünü Telegram’a yayınladı. . Olayı araştıran SCADAfence CTO’su Paul Smith, İranlı BT firması Irisa’nın web sitesinde, HMI ekran görüntüsündeki Irisa logosuyla eşleşen, projelerinden biri olarak Khouzestan çelik fabrikasını listeleyen bir sayfa buldu .
Smith ayrıca, Predatory Sparrow’un saldırısının videosunu kaydetmek için kullandığı HMI yazılımının ve gözetleme kamerasının internete bağlı olduğunu ve savunmasız nesnelerin interneti cihazlarını kataloglayan bir arama motoru olan Shodan’da bulunabileceğini bulduğunu söylüyor. Çelik fabrikalarında çalışan bir geçmişi olan Smith, saldırının hasarının, bilgisayar korsanlarının HMI’ya erişimlerini, çelik rafine etme işleminde erimiş çelikte hapsolmuş gazları uzaklaştıran “gazdan arındırma” adımını atlamak için kullanmalarından kaynaklandığını öne sürüyor. patlamalara neden olur. Kepçenin hareket etmesine ve içeriğini fabrika zeminine dökmesine neden olan şeyin, erimiş çelikte hapsolmuş gazların tam olarak bu tür bir patlaması olduğunu tahmin ediyor.
Predatory Sparrow, Telegram’da yayınladığı videosunda, saldırıyı “masum bireyleri korumak için dikkatli bir şekilde” gerçekleştirdiğini öne sürerek, hiçbir insanın tehlikede olmadığından emin olmak için gözetleme görüntülerini izlediğini öne sürdü. Smith bu iddiayı kabul etmiyor. Yanan sıvı metalden birkaç adım uzakta, uçan közlerin arasından koşmaya zorlanan iki İranlı çelik işçisinin ötesinde bile izleyicinin başka kimin tehlikede olabileceğini göremediğini savunuyor. Smith, “Kimsenin yaralanıp yaralanmadığını bilmiyorsunuz” diyor.
Khouzestan çelik fabrikası, Predatory Sparrow’un izinsiz giriş yaparak ihlal ettiği üç çelik tesisinden yalnızca biriydi, ancak bu operasyonlar yalnızca fiziksel sabotajı hedef almıyordu. Bir hafta sonra grup, hepsi Batı yaptırımlarıyla karşı karşıya olan üç çelik tesisinden, İran ordusuyla bağlarını göstermek için tasarlanmış on binlerce çalıntı e-postayı da yayınlamaya başladı.
2023: Benzin İstasyonu Felci, Redux
Hamas’ın İsrail’in güneyindeki 7 Ekim saldırıları ve İsrail’in Gazze Şeridi’ndeki ezici askeri müdahalesinin ardından Orta Doğu’da artan gerilimlerle birlikte, belki de Predatory Sparrow’un bu gelişen çatışmada rol oynaması kaçınılmazdı. İran destekli Husi isyancılar Kızıldeniz’de nakliyeyi engellemeye başlarken ve kendisine CyberAveng3rs adını veren İran bağlantılı bir hacker grubu, İsrail karşıtı mesajlarla ABD genelindeki su hizmetlerini hacklerken , grup 18 Aralık’ta 2021 benzin istasyonunun yeniden çalışmasını düzenledi. Saldırı, ülkenin çoğu dolum istasyonundaki pompaların satış noktası sistemlerini felce uğrattı.
Bu son saldırının teknik ayrıntıları hala yetersiz olsa da DarkCell’den Hamid Kashfi, muhtemelen ekipmandaki farklı güvenlik açıklarından yararlansa da, 2021 hack olayıyla aynı taktikleri takip ettiğini söylüyor. Predatory Sparrow, zararı sınırlamak amacıyla kesinti öncesinde İran acil servislerine gönderdiğini iddia ettiği mesajları yine yayınladı. Grubun Telegram’daki mesajında, “Daha önceki operasyonlarımızda olduğu gibi, bu siber saldırı, acil durum hizmetlerine gelebilecek olası hasarı sınırlamak için önlemler alınırken kontrollü bir şekilde gerçekleştirildi” denildi.
Predatory Sparrow, hackleme işleminin bir mesaj taşımayı amaçladığını bir kez daha açıkça belirtti. Grubun bir başka mesajında ise “Bu siber saldırı, İslam Cumhuriyeti’nin ve onun bölgedeki vekillerinin saldırganlığına yanıt olarak gerçekleştiriliyor” ifadesi yer alıyor. “Hamaney, ateşle oynamanın bir bedeli vardır.”
SentinelOne’dan Guerrero-Saade, benzin istasyonu siber saldırıları gibi eylemlerin, Predatory Sparrow’un, siber politika uzmanlarının “sinyal verme” olarak adlandırdığı şeyin (bir rakibin davranışını caydırmak üzere tasarlanmış mesajlar göndermek için siber saldırı yeteneklerini kullanmanın) ilk etkili örneği olabileceğini ileri sürüyor. Bunun nedeni, grubun siyasi motivasyonlu bilgisayar korsanlığına nispeten ölçülü ve ayrımcı bir yaklaşımla yeteneklerini geniş etkiler için kullanma konusundaki istekliliğinin açık bir göstergesi olduğunu söylüyor; ABD’nin bilgisayar korsanlığı kurumlarının, Ulusal Güvenlik Teşkilatı ve Siber Komuta gibi, çoğu zaman eksikti.
Guerrero-Saade, “Diğer kişiye yalnızca bu yeteneğe sahip olduğunuzu değil , aynı zamanda onu kullanmaya istekli olduğunuzu da inandırıcı bir şekilde gösteremezseniz, etkili sinyal verme diye bir şey olamaz ” diyor.
Bazı siber güvenlik araştırmacıları, Predatory Sparrow’u sivillere daha dikkatli yaklaşan, daha sorumlu bir siber savaş modeli olarak gösteriyor. Ancak İsrail ordusunun, Hamas’ın 7 Ekim katliamına tepki olarak on binlerce Filistinli sivili öldürmesi ve milyonlarca insanı yerinden etmesi sonrasında, İsrail hükümetiyle bağları olması muhtemel bir hacker grubundan gelen herhangi bir kısıtlama veya ayrımcılık önerisi haklı bir gerekçedir. şüphecilik.
Guerrero-Saade, çelik fabrikasına saldırı videosunun ve özellikle iki İranlı personelin ölümle ilgili bariz yakın konuşmasının, Predatory Sparrow’un “dikkatli” saldırı tarzının maliyetine ilişkin soruları gündeme getirdiğini itiraf ediyor.
“Mükemmel mi? Kayıplar veya endişeler olmadan mı? Hiç de değil,” diyor Guerrero-Saade. “Ben bunu desteklediğimi söylemiyorum. Ama buna hayran kaldım.”