Predatory Sparrow se distingue sobre todo por su aparente interés en enviar un mensaje geopolítico específico con sus ataques, dice Juan Andrés Guerrero-Saade, analista de la firma de ciberseguridad SentinelOne que ha seguido al grupo durante años. Todos esos mensajes son variaciones de un mismo tema: si atacas a Israel o a sus aliados, tenemos la capacidad de perturbar profundamente tu civilización. «Están demostrando que pueden acercarse y tocar a Irán de manera significativa», dice Guerrero-Saade. “Están diciendo: ‘Puedes apuntalar a los hutíes, a Hamás y a Hezbolá en estas guerras por poderes. Pero nosotros, Gorrión Depredador, podemos desmantelar su país pieza por pieza sin tener que movernos de donde estamos’”.
Aquí hay una breve historia del breve pero distinguido historial de ataques cibernéticos hiperdisruptivos de Predatory.
2021: Caos de trenes
A principios de julio de 2021, las computadoras que mostraban los horarios del sistema ferroviario nacional de Irán comenzaron a mostrar mensajes en farsi que declaraban que el mensaje era “un gran retraso debido a un ciberataque” o simplemente “cancelado”, junto con el número de teléfono de la oficina del líder supremo de Irán, Ali. Jamenei, como si sugiriera que los iraníes llamen al número para recibir actualizaciones o quejarse. Guerrero-Saade de SentinelOne analizó el malware utilizado en el ataque, al que denominó Meteor Express, y descubrió que los piratas informáticos habían implementado un programa de limpieza de tres etapas que destruía los sistemas de archivos de las computadoras, bloqueaba a los usuarios y luego borraba el registro de arranque maestro que Las máquinas utilizan para localizar su sistema operativo cuando se inician. La estación de radio Fars de Irán informó que el resultado del ciberataque fue un “caos sin precedentes”, pero luego eliminó esa declaración.
Casi al mismo tiempo, las computadoras de la red del Ministerio de Carreteras y Desarrollo Urbano de Irán también fueron afectadas por la herramienta de limpieza. El análisis del malware limpiador realizado por la firma de seguridad israelí CheckPoint reveló que los piratas informáticos probablemente habían utilizado diferentes versiones de las mismas herramientas años antes mientras irrumpían en objetivos vinculados a Irán en Siria, en esos casos bajo la apariencia de un grupo de piratas informáticos que lleva el nombre del dios hindú. de las tormentas, Indra.
«Nuestro objetivo con este ciberataque, manteniendo al mismo tiempo la seguridad de nuestros compatriotas, es expresar nuestro disgusto por el abuso y la crueldad que los ministerios y organizaciones gubernamentales permiten a la nación», escribió Predatory Sparrow en una publicación en farsi en su canal Telegram, sugiriendo que se estaba haciendo pasar por un grupo hacktivista iraní al reclamar el mérito de los ataques.
2021: Parálisis de gasolineras
Solo unos meses después, el 26 de octubre de 2021, Predatory Sparrow volvió a atacar. Esta vez, apuntó a los sistemas de puntos de venta en más de 4.000 gasolineras en todo Irán (la mayoría de todos los surtidores de combustible del país), derribando el sistema utilizado para aceptar pagos mediante tarjetas de subsidio de gasolina distribuidas a los ciudadanos iraníes. Hamid Kashfi, un emigrado iraní y fundador de la empresa de ciberseguridad DarkCell, analizó el ataque pero no publicó sus conclusiones detalladas hasta el mes pasado. Señala que el momento del ataque se produjo exactamente dos años después de que el gobierno iraní intentara reducir los subsidios al combustible, lo que provocó disturbios en todo el país. Haciéndose eco del ataque ferroviario, los piratas informáticos mostraron un mensaje en las pantallas de los surtidores de combustible con el número de teléfono del Líder Supremo, como si también culparan al gobierno de Irán por esta interrupción del suministro de gas. «Si lo miramos desde una perspectiva holística, parece un intento de provocar disturbios nuevamente en el país», dice Kashfi, «para aumentar la brecha entre el gobierno y el pueblo y causar más tensión».
El ataque provocó inmediatamente largas colas en las gasolineras de todo Irán que duraron días. Pero Kashfi sostiene que el ataque a la gasolinera, a pesar de sus enormes efectos, representa un ataque en el que Predatory Sparrow demostró verdadera moderación. Dedujo, basándose en datos detallados cargados por los servicios de respuesta iraníes al repositorio de malware VirusTotal, que los piratas informáticos tenían suficiente acceso a la infraestructura de pago de las gasolineras como para haber destruido todo el sistema, lo que obligó a la reinstalación manual del software en las gasolineras o incluso a la reemisión de tarjetas de subsidio. En cambio, simplemente borraron los sistemas de los puntos de venta de una manera que permitiría una recuperación relativamente rápida.