Predatory Sparrow: Кто такие хакеры, которые говорят, что устроили пожар в Иране?


Хакеры, работающие в цифровом мире, крайне редко наносят ущерб физическому миру.

Но кибератака на производителя стали в Иране две недели назад рассматривается как один из таких важных и тревожных моментов.

The steel factory shortly before the fire

Хакерская группа под названием Predatory Sparrow заявила, что она стоит за атакой, которая, по ее словам, вызвала серьезный пожар, и опубликовала видео, подтверждающее свою историю.

Видео похоже на запись инцидента с камер видеонаблюдения, на которой рабочие покидают часть завода до того, как машина начинает извергать расплавленную сталь и огонь. Видео заканчивается тем, что люди поливают огонь водой из шлангов.

На другом видео, появившемся в сети, можно услышать, как сотрудники фабрики кричат ​​о вызове пожарных и описывают повреждения оборудования.

Хищный воробей, также известный под своим персидским именем Гонжешке Даранде, говорит, что это была одна из трех атак, совершенных против иранских производителей стали 27 июня в ответ на неуточненные акты «агрессии», совершенные Исламской Республикой.

Группа также начала делиться гигабайтами данных, которые она якобы украла у компаний, включая конфиденциальные электронные письма.

На своей странице в Telegram Predatory Sparrow написал: «Эти компании находятся под международными санкциями и продолжают свою деятельность, несмотря на ограничения. Эти кибератаки осуществляются осторожно, чтобы защитить невинных людей».

Это последнее предложение навострило уши миру кибербезопасности.

Ясно, что хакеры знали, что они потенциально подвергают опасности жизни, но, похоже, они приложили все усилия, чтобы фабричный цех был пуст, прежде чем начать атаку, и они в равной степени стремились убедиться, что все знают, насколько они были осторожны.

Это заставило многих задуматься о том, является ли Predatory Sparrow профессиональной и жестко регулируемой командой военных хакеров, спонсируемых государством, которые, возможно, даже обязаны проводить оценку рисков перед началом операции.

«Они заявляют, что являются группой хактивистов, но, учитывая их изощренность и большое влияние, мы считаем, что эта группа либо управляется, либо спонсируется национальным государством», — говорит Итай Коэн, руководитель отдела киберисследований в Check Point. Программного обеспечения.

Predatory Sparrow has a Telegram channel, Twitter account and even a logo

Иран стал жертвой серии недавних кибератак, которые оказали влияние на реальный мир, но не настолько серьезно, как эта.

«Если окажется, что это спонсируемая государством кибератака, наносящая физический — или на жаргоне военных исследований «кинетический» ущерб, — это может иметь огромное значение», — говорит Эмили Тейлор, редактор журнала Cyber ​​Policy Journal.

«Исторически атака Stuxnet на иранские предприятия по обогащению урана в 2010 году была отмечена как один из немногих, если не единственный известный, пример кибератаки, причинившей физический ущерб».

Stuxnet — это компьютерный вирус, впервые обнаруженный в 2010 году, который повредил или уничтожил центрифуги на иранском предприятии по обогащению урана в Натанзе, препятствуя его ядерной программе.

С тех пор было очень мало подтвержденных случаев физического повреждения.

Natanz is heavily protected, with its most sensitive machinery housed deep underground

Возможно, единственный пришел в 2014 году в Германии. В годовом отчете немецкого кибероргана говорится, что кибератака нанесла «огромный ущерб» сталелитейному заводу, что привело к аварийному останову, но никаких подробностей не приводится.

Были и другие кибератаки, которые могли нанести серьезный ущерб, но не увенчались успехом. Например, хакеры пытались, но не смогли добавить химикаты в систему водоснабжения, взяв под контроль водоочистные сооружения.

Кибератаки чаще вызывают сбои — например, в транспортных сетях — без реального физического ущерба.

Эмили Тейлор говорит, что это важное различие, потому что, если будет доказано, что государство нанесло физический ущерб иранскому сталелитейному заводу, оно, возможно, нарушило международные законы, запрещающие применение силы, и предоставило Ирану законные основания для нанесения ответного удара.

Итак, если Predatory Sparrow — спонсируемая государством военная хакерская группа, какую страну она представляет? Его название, игра названия иранской группы по кибербезопасности Charming Kitten, может быть подсказкой, указывающей на то, что эта страна проявляет большой интерес к Ирану.

Широко распространено мнение, что атака Stuxnet была осуществлена ​​Израилем при поддержке США. И на этот раз ропот, связывающий нападение Predatory Sparrow с Израилем, был достаточно громким, чтобы вызвать реакцию израильского правительства.

Согласно сообщениям израильских СМИ, министр обороны Бенни Ганц приказал провести расследование утечек, в результате которых израильские журналисты намекнули, что за взломом стоит Израиль.

Сообщается, что министр обеспокоен тем, что «политика двусмысленности» Израиля в отношении его операций против Ирана могла быть нарушена.

«Если эта кибератака спонсируется государством, то, конечно, Израиль является главным подозреваемым. Иран и Израиль находятся в состоянии кибервойны, и официально оба государства это признают», — говорит Эрсин Чахмутоглу из ADEO Cyber ​​Security Services в Анкаре.

«Оба государства взаимно организуют кибератаки через свои разведывательные службы, и все обострилось с 2020 года, когда Израиль принял ответные меры после того, как Иран предпринял неудачную кибератаку на израильскую систему водоснабжения и попытался повлиять на уровень хлора».

Predatory Sparrow hijacked road signs to spread chaos in Iran

В октябре прошлого года Predatory Sparrow взял на себя ответственность за отключение иранской национальной системы оплаты заправочных станций. Группа также заявила, что она стояла за взломом цифровых рекламных щитов на дорогах, заставляя их отображать сообщение: «Хаменеи, где наше топливо?» – обращение к верховному лидеру страны аятолле Али Хаменеи.

Опять же, хакеры проявили определенную ответственность, заранее предупредив службы экстренной помощи Ирана о потенциальном хаосе, который может возникнуть.

Исследователи Check Point говорят, что они также обнаружили код во вредоносном программном обеспечении, используемом Predatory Sparrow, который совпадает с кодом, используемым другой группой под названием Indra, которая взломала дисплеи иранских железнодорожных станций в июле прошлого года.

По сообщениям иранских новостей, хакеры указывали на информационных табло на станциях по всей стране, что поезда отменены или задерживаются, и призывали пассажиров звонить верховному лидеру.

Но эксперты говорят, что нападение на сталелитейный завод является признаком того, что ставки становятся выше.

In August 2021 train station displays were hacked causing confusion to rail users

По словам генерального директора Mobarakeh Steel Company, где, по-видимому, произошел пожар, нападение не повлияло на работу завода и никто не пострадал. Две другие пострадавшие компании также заявили, что у них не возникло проблем.

Нариман Гариб, живущий в Великобритании оппозиционный иранский активист и независимый исследователь кибершпионажа, убежден, что видео является подлинным. Он отмечает, что два других видео пожара также были размещены в Twitter.

«Атака была реальной, так как рабочие записали видео с другого ракурса, и мы увидели опубликованное в Telegram-канале одной компании заявление о приостановке производственной линии, которое позже было опровергнуто».

Он опасается, что порог уже перейден.

«Если за этими атаками стоит Израиль, я думаю, они показывают, что могут нанести реальный ущерб, а не просто нарушить работу службы. Это показывает, как ситуация может быстро обостриться».


Добавить комментарий