O Predatory Sparrow distingue-se sobretudo pelo seu aparente interesse em enviar uma mensagem geopolítica específica com os seus ataques, diz Juan Andres Guerrero-Saade, analista da empresa de segurança cibernética SentinelOne que acompanha o grupo há anos. Todas essas mensagens são variações de um tema: se atacarem Israel ou os seus aliados, teremos a capacidade de perturbar profundamente a sua civilização. “Eles estão a mostrar que podem alcançar e tocar o Irão de formas significativas”, afirma Guerrero-Saade. “Eles estão dizendo: ‘Você pode apoiar os Houthis, o Hamas e o Hezbollah nessas guerras por procuração. Mas nós, Pardal Predatório, podemos desmantelar seu país pedaço por pedaço sem ter que sair de onde estamos.’”
Aqui está uma breve história do curto, mas distinto histórico de ataques cibernéticos hiper-disruptivos do Predatory.
2021: Treine o Caos
No início de julho de 2021, computadores que mostravam horários em todo o sistema ferroviário nacional do Irã começaram a exibir mensagens em farsi declarando a mensagem “longo atraso devido a ataque cibernético” ou simplesmente “cancelado”, juntamente com o número de telefone do escritório do líder supremo do Irã, Ali. Khamenei, como se quisesse sugerir que os iranianos ligassem para esse número para obter atualizações ou para reclamar. Guerrero-Saade do SentinelOne analisou o malware usado no ataque, que ele apelidou de Meteor Express, e descobriu que os hackers implantaram um programa de limpeza de três estágios que destruiu os sistemas de arquivos dos computadores, bloqueou os usuários e, em seguida, apagou o registro mestre de inicialização que as máquinas usam para localizar seu sistema operacional quando eles iniciam. Estação de rádio Fars do Irã relatado que o resultado do ataque cibernético foi um “caos sem precedentes”, mas posteriormente apagou essa afirmação.
Na mesma época, os computadores da rede do Ministério de Estradas e Desenvolvimento Urbano do Irã também foram atingidos pela ferramenta de limpeza. A análise do malware de limpeza pela empresa de segurança israelense CheckPoint revelou que os hackers provavelmente usaram versões diferentes das mesmas ferramentas anos antes, enquanto invadir alvos ligados ao Irã na Sírianesses casos sob o disfarce de um grupo de hackers nomeado em homenagem ao deus hindu das tempestades, Indra.
“Nosso objetivo com este ataque cibernético, ao mesmo tempo que mantemos a segurança de nossos compatriotas, é expressar nosso desgosto com o abuso e a crueldade que os ministérios e organizações governamentais permitem à nação”, escreveu Predatory Sparrow em um post em farsi em seu site. Canal de telegramasugerindo que estava se passando por um grupo hacktivista iraniano ao reivindicar o crédito pelos ataques.
2021: Paralisia do Posto de Gasolina
Poucos meses depois, em 26 de outubro de 2021, o Pardal Predatório atacou novamente. Desta vez, visou sistemas de pontos de venda em mais de 4.000 postos de gasolina em todo o Irão – a maioria de todas as bombas de combustível no país – derrubando o sistema utilizado para aceitar pagamentos através de cartões de subsídio de gasolina distribuídos a cidadãos iranianos. Hamid Kashfi, um emigrado iraniano e fundador da empresa de segurança cibernética DarkCell, analisou o ataque, mas apenas publicou seu descobertas detalhadas mês passado. Ele observa que o momento do ataque ocorreu exactamente dois anos depois de o governo iraniano ter tentado reduzir os subsídios aos combustíveis, provocando tumultos em todo o país. Ecoando o ataque ferroviário, os hackers exibiram uma mensagem nos ecrãs das bombas de combustível com o número de telefone do Líder Supremo, como se também culpassem o governo do Irão por esta interrupção do gás. “Se olharmos para isto de uma perspectiva holística, parece uma tentativa de desencadear novamente tumultos no país”, diz Kashfi, “para aumentar o fosso entre o governo e o povo e causar mais tensão”.
O ataque imediatamente levou a longas filas em postos de gasolina em todo o Irã que duraram dias. Mas Kashfi argumenta que o ataque ao posto de gasolina, apesar dos seus enormes efeitos, representa um ataque em que o Predatory Sparrow demonstrou verdadeira contenção. Ele inferiu, com base em dados detalhados carregados pelas equipes iranianas de resposta a incidentes no repositório de malware VirusTotal, que os hackers tinham acesso suficiente à infraestrutura de pagamento dos postos de gasolina para destruir todo o sistema, forçando a reinstalação manual do software nos postos de gasolina ou mesmo a reemissão de cartões de subsídio. Em vez disso, limitaram-se a limpar os sistemas dos pontos de venda de uma forma que permitiria uma recuperação relativamente rápida.
