ITanalyze

اخیرا وایرد در گزارشی به حملات و اقدامات مرموز گروه هکری «گنجشک درنده» (Predatory Sparrow) که اکنون ایرانیان را با برخی از تهاجمی‌ترین حملات سایبری تاریخ، هدف قرار داده، پرداخته است که بر اساس یافته‌های این گزارش، اگرچه گروه مذکور تلاش دارد، هویت، ارتباطات و منابع مالی و اطلاعاتی خود را مخفی نگه دارد اما بر خلاف این تلاش، تقریبا تمام حملات سایبری گروه هکری کنجشک درنده، مرتبط با اهداف و اقدامات نظامی اسراییل بوده و هست.

با این مقدمه در ادامه متن گزارش جالب توجه وایرد از حملات سازمان یافته این گروه که از نوع حملات سایبری/نظامی شناخته می‌شود را بخوانید.

حدود هشت دقیقه بعد از ساعت 3 بامداد 27 ژوئن 2022، در کارخانه فولاد خوزستان در نزدیکی خط ساحلی غربی ایران در خلیج فارس، درپوش بزرگی روی خمره‌ فلز مذاب فرود آمد. بر اساس تصاویر دوربین نظارتی داخل کارخانه، لوله یا مجرای بزرگ انتقال مایع، چندین برابر بلندتر از دو کارگر با لباس‌های خاکستری و کلاه‌های سخت بود که در نزدیکی آن ایستاده بودند. احتمالا به اندازه‌ای بزرگ بود که بتواند بیش از 100 تن فولاد مایع را که تا چند هزار درجه فارنهایت گرم شده بود، حمل کند.

در ویدئو، دو کارگر از قاب خارج می‌شوند. کلیپ، 10 دقیقه جلو می‌رود. سپس ناگهان مجرای انتقال مایع، در حال حرکت نشان داده می‌شود و به طور پیوسته به سمت دوربین می‌چرخد. در کسری از ثانیه، اخگرهای در حال سوختن به جهت‌های مختلف پرواز می‌کنند، آتش و دود کارخانه را پر می‌کند و فولاد حرارتی و مایع که آزادانه از کف خمره به زمین کارخانه می‌ریزد، دیده می‌شود.

در ویدئوی منتشر شده، با اشاره به نوعی سلب مسئولیت از گروه گنجشک درنده (Predatory Sparrow)، گروهی از هکرهایی که انجام این حمله سایبری را برعهده گرفتند، ویدئوکلیپی در کانال خود در تلگرام پست کردند: «همان‌طور که در اینجا مشاهده می‌کنید، این حمله سایبری با دقت انجام شده تا از افراد بی‌گناه محافظت شود!»

با این حال، تماشای دقیق ویدئو، چیزی شبیه به عکس آن را نشان می‌دهد: هشت ثانیه پس از شروع فاجعه کارخانه فولاد، دو کارگر را می‌توان دید که از زیر لوله یا مجرای انتقال مایع، در حال فرار از بارش سیل‌آسای پاره‌های آتش هستند.

پل اسمیت، مدیر ارشد فناوری شرکت امنیت سایبری صنعتی SCADfence که این حمله سایبری را تحلیل کرده، می‌گوید: «اگر آنها به نقطه خروج مجرا نزدیک‌تر بودند، پخته می‌شدند. تصور کنید با فولاد مذاب 1300 درجه سانتیگراد برخورد کنید. این، همان مرگ آنی است.»

خرابکاری کارخانه فولاد خوزستان، یکی از معدود نمونه‌های تاریخ حمله سایبری با اثرات مخرب فیزیکی است. با این حال، برای گروه هکری گنجشک درنده، این موضوع، تنها بخشی از اقدام طولانی‌مدت در زمینه نفوذ دیجیتالی بود و تنها چندین مورد از تهاجمی‌ترین حوادث هک تهاجمی را شامل می‌شود که تاکنون مستند شده است.

گنجشک درنده در سال‌های قبل و بعد از آن حمله، که سه کارخانه فولاد ایران را هدف قرار داد (اگرچه تنها یک نفوذ با موفقیت، موجب تخریب فیزیکی شد)، رایانه‌های سیستم راه‌آهن ایران را مختل کرد و سیستم‌های پرداخت را در اکثرپمپ بنزین‌های ایران را نیز نه یک‌ بار، بلکه دو بار مختل کرد. این گروه، در حمله ماه گذشته، بار دیگر سیستم‌های نقطه فروش را در بیش از 4000 پمپ بنزین از کار انداخت و کمبود سوخت در سراسر کشور ایجاد کرد.

این گروه هکری که معمولا در بیانیه‌های عمومی، خود را با ترجمه فارسی نامش، گنجشک درنده، یاد می‌کند، سال‌ها پیش از آن که جنگ اسرائیل با حماس، باعث افزایش تنش‌ها بین طرفین شود، به شدت بر ایران متمرکز بوده است.

اغلب هکرها، جمعیت غیرنظامی ایران را با حملات مخرب هدف قرار می‌دهند که در واکنش به اقدامات ایران در قالب هک یا نیابت نظامی سایر گروه‌هاست. به عنوان مثال، آخرین حمله به پمپ بنزین، پس از آن رخ داد که هکرهای مرتبط با ایران، تجهیزات ساخت اسرائیل را در حوزه شرکت‌های آب در سراسر جهان به خطر انداختند و حوثی‌های مورد حمایت ایران، موشک‌هایی را به سمت اسرائیل پرتاب کرده و به کشتی‌ها در دریای سرخ حمله کردند. گنجشک درنده در توییتر خود خطاب به ایران به فارسی نوشت: «ما در برابر تحریکات شما در منطقه، واکنش نشان خواهیم داد.»

در حالی که گنجشک درنده، ظاهر یک گروه هکتیویست را حفظ می‌کند -که اغلب بر پوشش فردی که خودش ایرانی است تاثیر می‌گذارد- اما تقریبا تمام شواهد و پیچیدگی فنی آن، به احتمال دخالت یک دولت یا ارتش اشاره دارد.

منابع دفاعی ایالات متحده در سال 2021 در گفتگو با نیویورک تایمز، هکرها را به اسرائیل مرتبط دانستند.

با این حال، برخی تحلیلگران امنیت سایبری که این گروه را ردیابی می‌کنند، می‌گویند حتی زمانی که این گروه، حملاتی را انجام می‌دهد که با اکثر تعاریف جنگ سایبری مطابقت دارد، یکی از ویژگی‌های آن محدودیت است؛ محدودسازی آسیب‌هایی که می‌تواند ایجاد کند.

این گروه در عین حال، نشان می‌دهد که می‌توانست دستاوردهای (تخریبی) بیشتری داشته باشد. تلاش برای دستیابی به ظاهر امر، ممکن است دقیق‌تر باشد: به خطر افتادن فیزیکی حداقل دو کارمند خوزستان در حمله به کارخانه فولاد، استثنای آشکار در زمینه ادعای ایمنی است.

خوان آندرس گوئرو ساعد، تحلیلگر شرکت امنیت سایبری SentinelOne که سال‌ها این گروه را ردیابی کرده، می‌گوید که گنجشک درنده، بیش از همه به دلیل علاقه آشکار به ارسال پیام ژئوپلیتیکی خاص با حملات خود، متمایز است. این پیام‌ها همه در این زمینه هستند: «اگر به اسرائیل یا متحدانش حمله کنید، ما این توانایی را داریم که تمدن شما را عمیقا مختل کنیم.»

گوئرو می‌گوید: «آنها نشان می‌دهند که می‌توانند به راه‌های معنادار دست پیدا کرده و ایران را هدف قرار دهند.»

این گروه (خطاب به ایران) می‌گوید: «شما می‌توانید حوثی‌ها، حماس و حزب‌الله را در جنگ‌های نیابتی حمایت کنید اما ما، یعنی گنجشک درنده، می‌توانیم روستای شما را تکه‌تکه کرده و از بین ببریم، بدون اینکه مجبور باشیم از جایی که هستیم، بلند شویم!»

در ادامه، تاریخچه مختصری از سابقه کوتاه اما متمایز گنجشک درنده، درباره حملات سایبری بیش از حد مخرب، ذکر شده است:

• 2021: اختلال در راه‌آهن سراسری

اوایل ژوئیه سال 2021، رایانه‌هایی که برنامه‌های زمان‌بندی را در راه‌آهن سراسری ایران نشان می‌دادند، شروع به نمایش پیام‌هایی به زبان فارسی کردند که پیام «تاخیر طولانی به دلیل حمله سایبری» یا به سادگی «لغو» را اعلام می‌کرد.

در این زمینه، گوئرو ساعد از SentinelOne، بدافزار مورد استفاده در این حمله را که Meteor Express نامیده، تجزیه و تحلیل کرد و دریافت که هکرها یک برنامه پاکسازی سه مرحله‌ای را اجرا کرده‌اند که سیستم فایل رایانه‌ها را از بین می‌برد، کاربران را قفل می‌کند و سپس رکورد اصلی بوت را پاک می‌کند. ماشین‌ها هنگام راه‌اندازی برای مکان‌یابی از سیستم عامل خود استفاده می‌کنند.

تقریبا در همان زمان، کامپیوترهای شبکه وزارت راه و شهرسازی ایران، با ابزار پاک‌کن (Wiper) مورد اصابت قرار گرفتند. تجزیه و تحلیل این بدافزار توسط شرکت امنیتی اسرائیلی چک‌پوینت (CheckPoint) نشان داد که هکرها احتمالا سال‌ها قبل هنگام نفوذ به اهداف مرتبط با ایران در سوریه، از نسخه‌های متفاوتی از ابزارهای مشابه در این موارد، در پوشش گروه هکری به نام خدای هندوی طوفان‌ها، ایندرا، استفاده کردند.

گروه هکری گنجشک درنده با انتشار پستی به فارسی در کانال تلگرامی خود نوشت: «هدف ما از این حمله سایبری، با حفظ امنیت هموطنان، ابراز انزجار از سوءاستفاده و ظلم است.»

به عبارت دیگر این هکرها به عنوان یک «گروه هکریست ایرانی» وانمود می‌کرد که مسئولیت این حملات را برعهده داشته است.

• 2021: اختلال پمپ بنزین

تنها چند ماه بعد، در 26 اکتبر 2021، گنجشک درنده دوباره حمله کرد. این بار سیستم‌های نقطه ‌فروش را در بیش از 4000 پمپ بنزین در سراسر ایران هدف قرار داد. اکثر پمپ‌های سوخت در کشور، سیستمی را که برای پذیرش پرداخت با کارت‌های یارانه بنزین برای شهروندان ایرانی استفاده می‌شد، از بین برد.

حمید کشفی، مهاجر ایرانی و بنیانگذار شرکت امنیت سایبری DarkCell، این حمله را تحلیل و یافته‌های دقیق خود را در ماه گذشته منتشر کرد. او خاطرنشان می‌کند که زمان حمله، دقیقا دو سال پس از تلاش دولت ایران برای کاهش یارانه سوخت رخ داد که باعث شورش‌هایی در سراسر کشور شد. هکرها با تکرار حمله راه‌آهن، پیامی را روی صفحه‌نمایش پمپ بنزین به نمایش گذاشتند که گویا دولت ایران را نیز در این اختلال گازی مقصر می‌داند.

کاشفی می‌گوید: «اگر از دیدگاه کلی به آن نگاه کنید، به نظر می‌رسد، هدف تلاش برای ایجاد شورش دوباره در کشور، است.»

این حمله، بلافاصله منجر به صف‌های طولانی در پمپ بنزین‌های سراسر ایران شد که چند روز طول کشید اما کاشفی استدلال می‌کند که حمله به پمپ بنزین، علی‌رغم تاثیرات بزرگ، بیانگر حمله‌ای است که گنجشک درنده در آن خودداری واقعی نشان داد.

او بر اساس داده‌های آپلودشده توسط پاسخگویان حوادث در بدافزار VirusTotal استنباط کرد که هکرها به اندازه کافی به زیرساخت پرداخت پمپ بنزین دسترسی داشته‌اند تا کل سیستم را از بین ببرند و ایران، مجبور به نصب مجدد دستی نرم‌افزار در پمپ بنزین‌ها یا حتی انتشار مجدد آن شود. در مقابل، کارت‌های یارانه آنها فقط سیستم‌های نقطه فروش را به گونه‌ای پاک کردند که امکان بازیابی نسبتا سریع را فراهم کند.

گروه گنجشک درنده حتی تا آنجا پیش رفت که در حساب تلگرام ادعا کرد به فروشنده سیستم‌های نقطه فروش Ingenico ایمیل زده است. این شرکت درباره یک آسیب‌پذیری اصلاح‌نشده در نرم‌افزار خود هشدار می‌دهد که می‌تواند برای ایجاد وضعیت دائمی‌تر اختلال در سیستم پرداخت استفاده شود.

این گروه هکری در تلگرام مدعی شد که برای سرویس‌های اضطراری غیرنظامی ایران، پیام‌های متنی ارسال کرده و اسکرین‌شات‌هایی از هشدارهایش را به این سرویس‌ها برای سوخت‌گیری خودروها قبل از حمله، ارسال کرده است. کاشفی می‌گوید: «شما اغلب آن را نمی‌بینید، درست است؟»

وی ادامه می‌دهد: «آنها تصمیم گرفتند آسیب را بسیار تمیز و کنترل‌شده انجام دهند.»

• 2022: کارخانه ذوب فولاد (خوزستان)

در ژوئن 2022، گنجشک درنده یکی از وقیحانه‌ترین اقدامات خرابکاری سایبری در تاریخ را انجام داد؛ اقدامی که باعث ریختن فولاد مذاب در کارخانه فولاد خوزستان ایران و در نهایت، موجب آتش‌سوزی در تاسیسات شد.

هکرها برای اثبات اینکه این حمله را انجام داده و صرفا اعتبار حادثه صنعتی غیرمرتبط را به خود اختصاص ندهند، اسکرین‌شات رابط انسان و ماشین یا نرم‌افزار HMI را در تلگرام منتشر کردند که کارخانه فولاد برای کنترل تجهیزات خود از آن استفاده می‌کرد.

پل اسمیت، مدیر ارشد فناوری SCADAfence که این حادثه را بررسی می‌کرد، سریعا صفحه‌ای را در وب‌سایت شرکت ایرانی پیدا کرد که کارخانه فولاد خوزستان را به عنوان یکی از پروژه‌های خود فهرست کرده بود و با آرم آن شرکت در اسکرین‌شات HMI مطابقت داشت.

اسمیت می‌گوید او همچنین دریافت که هم نرم‌افزار HMI و هم دوربین نظارتی که گروه گنجشک درنده برای ضبط ویدئوی حمله خود استفاده می‌کرد، به اینترنت متصل بودند و در Shodan، موتور جستجویی که دستگاه‌های آسیب‌پذیر اینترنت اشیا را فهرست‌بندی می‌کند، قابل کشف بودند.

اسمیت که سابقه کار در کارخانه‌های فولاد را دارد، این نظریه را مطرح می‌کند که آسیب حمله زمانی ایجاد شد که هکرها از دسترسی خود به HMI برای دور زدن مرحله «گاززدایی» در فرآیند پالایش فولاد استفاده کردند؛ اقدامی که گازهای اسیر در فولاد مذاب را حذف می‌کند. او حدس می‌زند که دقیقا همان نوع انفجار گازهای محبوس شده در فولاد مذاب بوده که باعث شده مجری انتقال مایع حرکت کند و محتویات آن روی کف کارخانه بریزد.

گنجشک درنده در ویدئوی خود که در تلگرام منتشر کرد، مدعی شد که این حمله را «با دقت برای محافظت از افراد بی‌گناه» انجام داده است. این گروه نشان می‌دهد که فیلم‌های نظارتی را زیرنظر گرفته تا مطمئن شود هیچ انسانی در خطر نیست.

اسمیت اما این ادعا را نمی‌‌پذیرد. او حتی فراتر از دو کارگر فولاد ایران که مجبور به دویدن از میان پاره‌های آتش در حال پرواز، چند متر دورتر از سوختن فلز مایع بوده‌اند، استدلال می‌کند که بیننده نمی‌تواند ببیند چه‌ کسی آسیب دیده است. اسمیت می گوید: «شما نمی‌دانید آیا کسی صدمه دیده یا خیر.»

کارخانه فولاد خوزستان تنها یکی از سه تاسیسات فولادی بود که گنجشک درنده به آن نفوذ کرد. اگرچه این عملیات صرفا خرابکاری فیزیکی نبود. یک هفته بعد، این گروه همچنین شروع به ارسال ده‌ها هزار ایمیل سرقت‌شده از سه مورد از تاسیسات فولادی کرد که همگی با تحریم‌های غرب مواجه بودند.

• 2023: اختلال پمپ بنزین، Redux

با افزایش تنش‌ها در سراسر خاورمیانه پس از حملات 7 اکتبر حماس در جنوب اسرائیل و پاسخ نظامی اسرائیل در نوار غزه، شاید این امر اجتناب‌ناپذیر بود که گنجشک درنده در آن درگیریِ رو به رشد، نقش داشته باشد؛ خصوصا هنگامی که حوثی‌ها، کشتیرانی در دریای سرخ را محاصره کردند و زمانی که گروه هکری مرتبط با ایران که خود را CyberAveng3rs معرفی می‌کند، با پیام‌های ضد اسرائیلی، تاسیسات آب در ایالات متحده را هک کرد. این گروه در 18 دسامبر، یک بار دیگر ماجرای پمپ بنزین سال 2021 را اجرا کرد. این حمله، سیستم‌های نقطه فروش را در بیشتر پمپ بنزین‌های کشور بار دیگر مختل کرد.

در حالی که جزئیات فنی حمله اخیر، هنوز ناچیز است، حمید کشفی از DarkCell می‌گوید که به نظر می‌رسد این هجوم سایبری از همان بازی هک 2021 پیروی می‌کند، اگرچه احتمالا از آسیب‌پذیری‌های امنیتی مختلف در تجهیزات نیز سوءاستفاده می‌کند. بار دیگر، گنجشک درنده، پیام‌هایی را منتشر کرد که ادعا می‌کرد پیش از این اختلال، برای خدمات اضطراری ایران ارسال کرده تا آسیب را محدود کند. در پیام این گروه در تلگرام آمده است که این حمله سایبری همانند عملیات قبلی ما به صورت کنترل‌شده و با اتخاذ تدابیری برای محدودسازی آسیب احتمالی به خدمات اضطراری انجام شد.

با این حال، گنجشک درنده تصریح کرد که هدف هک، ارائه پیام بود. در یکی از پیام‌های این گروه آمده است: این حمله سایبری در پاسخ به اقدامات جمهوری اسلامی و گروه‌های نیابتی این کشور در منطقه صورت می‌گیرد.

گوئرو ساعد از SentinelOne استدلال می‌کند که اقداماتی مانند حملات سایبری به پمپ بنزین ایران نشان می‌دهد گنجشک درنده ممکن است اولین نمونه موثر از چیزی باشد که سیاست سایبری از آن به عنوان «سیگنال» یاد می‌کند؛ یعنی استفاده از قابلیت‌های حمله سایبری برای ارسال پیام‌هایی که برای جلوگیری از رفتار دشمن طراحی شده است.

او می‌گوید این گروه هکری، رویکرد نسبتا محدود و تبعیض‌آمیز را برای هک با انگیزه‌های سیاسی، با تمایل به استفاده از قابلیت‌های خود برای تاثیرات گسترده ترکیب کرده است؛ تمایلی که او اشاره می‌کند، به آژانس‌های هک ایالات متحده آمریکا، مانند آژانس امنیت ملی و فرماندهی سایبری برمی‌گردد.

گوئرو ساعد می‌گوید: «اگر نتوانید به طور مشخص به طرف مقابل نشان دهید که علاوه بر توانایی موجود، مایل به استفاده از آن هستید، دیگر چیزی به نام سیگنال‌دهی موثر وجود ندارد.»

برخی محققان امنیت سایبری به گنجشک درنده نیز به عنوان مدلی از جنگ سایبری مسئولانه‌تر، با توجه دقیق‌تر به غیرنظامیان اشاره می‌کنند. با این حال، پس از کشتار ده‌ها هزار غیرنظامی فلسطینی توسط ارتش اسرائیل و آواره شدن میلیون‌ها نفر دیگر در واکنش به حملات 7 اکتبر توسط حماس، هرگونه پیشنهادی مبنی بر خویشتن‌داری از سوی یک گروه هکری که احتمالا با دولت اسرائیل ارتباط دارد، ضروری است.

گوئررو ساعد اعتراف می‌کند ویدئوی حمله به کارخانه فولاد، به‌ویژه تماس نزدیک آشکار دو کارمند ایرانی با مرگ، که ضبط شده، سوالاتی را درباره هزینه سبک حمله «محتاطانه» گنجشک درنده ایجاد می‌کند. سوالاتی مانند اینکه: «آیا حمله، کامل است؟ آیا حمله، بدون تلفات یا نگرانی است؟ به‌ هیچ وجه.» (منبع:عصرارتباط)