„Predatory Sparrow“ zeichnet sich vor allem durch sein offensichtliches Interesse aus, mit seinen Angriffen eine bestimmte geopolitische Botschaft zu senden, sagt Juan Andres Guerrero-Saade, Analyst beim Cybersicherheitsunternehmen SentinelOne, der die Gruppe seit Jahren verfolgt. Diese Botschaften sind allesamt Variationen eines Themas: Wenn Sie Israel oder seine Verbündeten angreifen, haben wir die Möglichkeit, Ihre Zivilisation tiefgreifend zu stören. „Sie zeigen, dass sie den Iran auf sinnvolle Weise erreichen und berühren können“, sagt Guerrero-Saade. „Sie sagen: ‚Sie können die Houthis, die Hamas und die Hisbollah in diesen Stellvertreterkriegen unterstützen.‘ Aber wir, Predatory Sparrow, können Ihr Land Stück für Stück demontieren, ohne unseren Standort verlassen zu müssen.‘“
Hier ist eine kurze Geschichte der kurzen, aber bemerkenswerten Erfolgsbilanz von Predatory bei extrem disruptiven Cyberangriffen.
2021: Zugchaos
Anfang Juli 2021 begannen Computer, die Fahrpläne im gesamten iranischen Staatsbahnsystem anzeigten, Meldungen auf Farsi anzuzeigen, in denen es hieß: „lange Verspätung wegen Cyberangriff“ oder einfach „abgesagt“, zusammen mit der Telefonnummer des Büros des Obersten Führers des Iran, Ali Khamenei, als wolle er den Iranern vorschlagen, die Nummer anzurufen, um Updates zu erhalten oder sich zu beschweren. Guerrero-Saade von SentinelOne analysierte die Schadsoftware Er verwendete den Angriff, den er Meteor Express nannte, und stellte fest, dass die Hacker ein dreistufiges Löschprogramm eingesetzt hatten, das die Dateisysteme der Computer zerstörte, Benutzer aussperrte und dann den Master-Boot-Record löschte, den die Computer zum Auffinden ihres Betriebssystems verwenden wenn sie starten. Irans Radiosender Fars gemeldet dass das Ergebnis des Cyberangriffs ein „beispielloses Chaos“ gewesen sei, diese Aussage wurde jedoch später gelöscht.
Etwa zur gleichen Zeit wurden auch Computer im gesamten Netzwerk des iranischen Ministeriums für Straßen und Stadtentwicklung von dem Wischertool betroffen. Die Analyse der Wiper-Malware durch das israelische Sicherheitsunternehmen CheckPoint ergab, dass die Hacker wahrscheinlich vor Jahren unterschiedliche Versionen derselben Tools verwendet hatten Einbruch in mit dem Iran verbundene Ziele in Syrienin diesen Fällen unter dem Deckmantel einer Hackergruppe, die nach dem hinduistischen Gott der Stürme, Indra, benannt ist.
„Unser Ziel dieses Cyber-Angriffs bei gleichzeitiger Wahrung der Sicherheit unserer Landsleute ist es, unsere Abscheu vor dem Missbrauch und der Grausamkeit zum Ausdruck zu bringen, die die Ministerien und Organisationen der Nation zulassen“, schrieb Predatory Sparrow in einem Beitrag auf Farsi Telegram-Kanalwas darauf hindeutet, dass sie sich als iranische Hacktivistengruppe ausgab, als sie die Verantwortung für die Angriffe beanspruchte.
2021: Tankstellenlähmung
Nur wenige Monate später, am 26. Oktober 2021, schlug Predatory Sparrow erneut zu. Dieses Mal zielte es auf Kassensysteme an mehr als 4.000 Tankstellen im ganzen Iran ab – die Mehrheit aller Zapfsäulen im Land – und zerstörte das System, mit dem Zahlungen per Benzinsubventionskarten akzeptiert wurden, die an iranische Bürger verteilt wurden. Hamid Kashfi, ein iranischer Emigrant und Gründer der Cybersicherheitsfirma DarkCell, analysierte den Angriff, veröffentlichte jedoch nur seinen detaillierte Befunde Im vergangenen Monat. Er weist darauf hin, dass der Zeitpunkt des Angriffs genau zwei Jahre nach dem Versuch der iranischen Regierung fiel, die Treibstoffsubventionen zu kürzen, was zu Unruhen im ganzen Land führte. In Anlehnung an den Eisenbahnangriff zeigten die Hacker auf den Bildschirmen der Treibstoffpumpen eine Nachricht mit der Telefonnummer des Obersten Führers an, als wollten sie damit auch die iranische Regierung für diese Gasstörung verantwortlich machen. „Wenn man es ganzheitlich betrachtet, sieht es wie ein Versuch aus, erneut Unruhen im Land auszulösen“, sagt Kashfi, „um die Kluft zwischen der Regierung und dem Volk zu vergrößern und mehr Spannungen zu verursachen.“
Der Angriff führte sofort zu langen tagelangen Schlangen an Tankstellen im ganzen Iran. Aber Kashfi argumentiert, dass der Tankstellenangriff trotz seiner enormen Auswirkungen einen Angriff darstellt, bei dem Predatory Sparrow tatsächliche Zurückhaltung bewiesen hat. Basierend auf detaillierten Daten, die von iranischen Notfallhelfern in das Malware-Repository VirusTotal hochgeladen wurden, kam er zu dem Schluss, dass die Hacker ausreichend Zugriff auf die Zahlungsinfrastruktur der Tankstellen hatten, um das gesamte System zu zerstören und eine manuelle Neuinstallation der Software an Tankstellen oder sogar eine Neuausgabe zu erzwingen Subventionskarten. Stattdessen haben sie lediglich die Kassensysteme so gelöscht, dass eine relativ schnelle Wiederherstellung möglich war.