هکرهایی که یگان سایبری مخفی اسراییل هستند

واکاوی حملات «گنجشک درنده» به ایران

p7-raast

آسیه فروردین

گروه پیشرفته سایبری «گنجشک درنده» (وابسته به رژیم صهیونیستی) در سال‌های اخیر، به یکی از مخرب‌ترین بازیگران تهدیدکننده زیرساخت‌های حیاتی ایران تبدیل شده است.

بر اساس گزارش gbhackers، پلتفرم تحلیلی حوزه امنیت سایبری، در گزارشی به بررسی نقش و روش کار این گروه هکری پرداخته و توشت: برخلاف عملیات سنتی جرایم سایبری که عمدتاً به‌دنبال کسب سود مالی هستند، گروه هکری گنجشک درنده، کمپین‌های بسیار مخرب اجرا می‌کند که هدف آنها، فلج کردن خدمات حیاتی، نابود کردن داده‌های حساس و ارسال پیام‌های سیاسی تحریک‌آمیز است.

محققان امنیتی و تحلیلگران اطلاعاتی به‌طور گسترده معتقدند گنجشک درنده با حمایت اسرائیل فعالیت می‌کند و اقدامات آنها را باید در چارچوب جنگ سایبری پنهان بین اسرائیل و ایران دانست که از سال ۲۰۱۹ به‌طور قابل‌توجهی تشدید شده است.

گنجشک درنده، توانایی نگران‌کننده‌ای در نفوذ و خرابکاری در بخش‌های مختلف زیرساخت‌های ملی ایران از خود نشان داده است. این گروه نخستین بار در جولای ۲۰۲۱، توجه بین‌المللی را به خود جلب کرد؛ یعنی زمانی که موفق شد به سامانه ملی راه‌آهن ایران به‌طور کامل نفوذ کند، باعث اختلال عملیاتی شود و پیام «حمله سایبری» را روی تابلوهای اطلاعاتی ایستگاه‌ها در سراسر کشور نمایش دهد.

این حمله، از بدافزاری بسیار پیشرفته به نام «متئور» (Meteor) استفاده کرد؛ یک نوع بدافزار وایپر (پاک‌کننده سیستم) که به‌طور ویژه طراحی شده بود تا سیستم‌های آلوده را کاملاً غیرقابل استفاده کند و شواهد نفوذ را نیز از بین ببرد.

فعالیت‌های این گروه در ژوئن ۲۰۲۲، به‌طور قابل‌توجهی افزایش یافت؛ همان زمان که گنجشک درنده، مسئولیت حمله سایبری به یک کارخانه فولاد ایران را برعهده گرفت؛ حمله‌ای که موجب آتش‌سوزی، خسارات فیزیکی و توقف تولید شد. این حادثه، بیانگر تحولی نگران‌کننده در تاکتیک‌های جنگ سایبری بود و نشان داد چگونه حملات دیجیتال می‌توانند به تأثیرات فیزیکی واقعی منجر شوند و پیامدهای بالقوه‌ای برای ایمنی صنعتی و امنیت اقتصادی ملی داشته باشند.

در دسامبر ۲۰۲۳، گروه هکری گنجشک درنده، یکی از گسترده‌ترین کمپین‌های مختل‌کننده را اجرا کرد و شبکه سراسری جایگاه‌های سوخت ایران را هدف قرار داد.

این گروه ادعا کرد اکثریت پمپ‌های سوخت کشور را غیرفعال کرده، باعث هرج و مرج در زندگی روزمره شهروندان شده و توانایی خود را در تأثیرگذاری بر جریان زندگی مردم در سراسر کشور نشان داده است. در بیانیه‌ای که در ایکس (توئیتر سابق) منتشر شد، گنجشک درنده، این عملیات را تلافی اقدامات جمهوری اسلامی و نیروهای منطقه‌ای آن دانست و پیام سیاسی آشکار، همراه با عملیات فنی را به نمایش گذاشت.

  • حملات اخیر گنجشک درنده

عملیات اخیر، با خسارت مالی این گروه، در ژوئن ۲۰۲۵، درست پس از حملات هوایی نظامی اسرائیل به اهداف ایرانی رخ داد. این بار گنجشک درنده، حملات هماهنگ علیه زیرساخت‌های مالی ایران انجام داد. این گروه، ابتدا بانک سپه را هدف قرار داد؛ عملیاتی که آن را پاکسازی کامل داده‌ها توصیف کرد. مهاجمان، بانک را به تأمین مالی تجهیزات نظامی ایران، متهم و ادعا کردند سیستم‌های دیجیتال آن را کاملاً از کار انداخته‌اند و خدمات بانکی را برای میلیون‌ها مشتری مختل کرده‌اند.

روز بعد، این گروه، حمله‌ای بسیار مخرب علیه نوبیتکس، بزرگ‌ترین صرافی رمزارز ایران، انجام داد. آنها ادعا کردند حدود ۹۰ میلیون دلار دارایی رمزارزی را «سوزانده‌اند» و با انتقال به آدرس‌های بلاک‌چین غیرقابل دسترس، عملاً این وجوه را برای همیشه غیرقابل بازیابی کرده‌اند. علاوه بر این، مهاجمان کد منبع کامل نوبیتکس، مستندات زیرساختی و مواد حساس تحقیق و توسعه داخلی آن را به‌طور عمومی منتشر کردند. این نقض عظیم داده‌ها، نه‌تنها خسارت مالی فوری ایجاد کرد، بلکه آسیب‌پذیری‌های عملیاتی و مالکیت معنوی حیاتی را افشا ساخت که می‌تواند حملات آینده به صرافی یا پلتفرم‌های مشابه را تسهیل کند.

  • روش‌های پیشرفته حمله

اما تحلیل فنی عملیات گنجشک درنده نشان می‌دهد آنها یک دشمن بسیار پیشرفته هستند که از تاکتیک‌ها، تکنیک‌ها و رویه‌های پیچیده بهره می‌برند. این گروه، توانایی‌های گسترده‌ای در شناسایی هدف دارد و اغلب پیش از حمله، به‌طور کامل شبکه هدف را بررسی و سیستم‌های حیاتی را شناسایی می‌کند. بدافزار متئور، دارای فایل‌ها و گزارش‌های پیکربندی رمزگذاری‌شده است که تحلیل‌های قضایی را برای پاسخ‌دهندگان به حادثه، به‌طور قابل‌توجهی دشوار می‌کند.

زنجیره حمله معمولاً با دسترسی اولیه از طریق اعتبارنامه‌های VPN به‌خطرافتاده یا سوءاستفاده از برنامه‌های قابل دسترس عمومی آغاز می‌شود. پس از ورود به شبکه هدف، گنجشک درنده، اسکریپت‌های دسته‌ای را مستقر می‌کند که کنترل‌های امنیتی را به‌طور سیستماتیک غیرفعال می‌کنند. مثار بارز، افزودن فایل‌های مخرب به فهرست‌های استثنا در  Windows Defenderو تلاش برای حذف نرم‌افزارهای آنتی‌ویروس شخص ثالث مانند کسپرسکی است. این گروه، همچنین از تکنیک‌های ضدتحقیقاتی مانند پاکسازی گزارش‌های رویداد ویندوز از طریق ابزارهای بومی استفاده می‌کند تا شواهد فعالیت‌های خود را از بین ببرد.

بارگذاری‌های مخرب آنها، مکانیزم‌های متعددی برای اطمینان از حداکثر آسیب و جلوگیری از بازیابی سیستم پیاده می‌کنند. این امر، شامل حذف همه نسخه‌های سایه لحظه‌ای با فرامینی مانند «vssadmin.exe delete shadows /all /quiet» و خراب کردن داده‌های پیکربندی بوت برای جلوگیری از راه‌اندازی مجدد ماشین‌های آلوده است. برخی از نسخه‌های بدافزار حتی نام میزبان را بررسی می‌کنند تا از اجرا روی سیستم‌های اطلاعات قربانی جلوگیری شود و پیام‌های آنها به‌طور صحیح روی تابلوهای عمومی نمایش داده شود و در عین حال، زیرساخت‌های موردنیاز برای ارسال پیام‌های سیاسی را حفظ کنند.

ظهور گنجشک درنده، نشانه تحول خطرناک در عملیات سایبری با حمایت دولت است؛ جایی که توانایی‌های فنی پیشرفته با قصد مخرب آشکار ترکیب می‌شوند و اختلالات زنجیره‌ای در زیرساخت‌های حیاتی ملی ایجاد می‌کنند. با تداوم توسعه تکنیک‌ها و گسترش حوزه اهداف، دفاع در برابر این دشمنان مصمم، نیازمند اعتبارسنجی جامع امنیت، پایش مداوم و توانایی شبیه‌سازی سناریوهای تهدید مداوم پیشرفته، برای شناسایی نقاط ضعف دفاعی، قبل از وقوع حملات واقعی است.

طراحی سایت توسط آژانس دیجیتال مارکتینگ روشن