新闻揭秘：一个神秘黑客组织对伊朗攻击大盘点

2022年6月27日凌晨3点08分左右，波斯湾伊朗西海岸线附近的胡齐斯坦钢铁厂内，一个巨大的盖子缓慢下降，盖在了一桶发着红光的熔融金属上。根据工厂内监控摄像头拍摄的画面，这一巨型容器比附近两名穿着灰色制服、戴着安全帽的工人高出好几倍，可能大到足以运载一百多吨加热到几千华氏度的钢水。

视频中，两名工人正走出画面。时间快进10分钟。突然，巨大的浇筑设备开始移动，并朝着镜头的方向摆动起来。不到一秒的时间，燃烧的余烬开始向四面八方飞舞，火焰和烟雾充斥了工厂，可以看到炽热的液态钢正从桶底自由地倾泻到工厂地板上。

在视频底部，是Predatory Sparrow的免责声明，该黑客组织将视频剪辑发布到Telegram他们的频道上，将这场由网络攻击引发的混乱归功于自己：“正如您在这段视频中看到的，这次网络攻击是谨慎实施的，我们会保护工厂中无辜的工人。”

然而，仔细观看视频就会发现事实正与此相反：钢厂灾难开始八秒后，可以看到两名工人从钢包组件下方跑了出来，穿过余烬的时候，距离燃烧的液态金属激流仅几英尺远。专注于工业网络安全的SCADAfence公司其首席技术官保罗•史密斯 (Paul Smith) 对此次攻击进行了分析，他表示：“这两位工人如果离钢包出口再近一点点，立刻就会被煮熟。想象一下，被1,300 摄氏度的钢水击中，只有立即死亡。”

Predatory Sparrow黑客组织发布的视频片段显示了其网络攻击对伊朗胡齐斯坦钢厂的影响。尽管该组织在视频文本中声称已采取措施保护“无辜者”，但可以看到两名钢铁工人（用红色圆圈圈出）险些未能逃脱黑客攻击引发的熔融金属泄漏及引发的火灾。

胡齐斯坦钢厂破坏事件是历史上少数具有物理破坏性影响的网络攻击例子之一。但对于 Predatory Sparrow来说，这只是其长达数年的黑客攻击的一部分，其中包括几起有史以来最激进的攻击性黑客事件。在视频中这次袭击（针对三个伊朗钢铁厂，尽管只有一次入侵成功造成物理破坏）前后的几年里，Predatory Sparrow还入侵了伊朗的铁路系统服务器，并两次破坏了伊朗主要加油站的支付系统，其中上个月的一次攻击再次导致4,000多个加油站的销售系统瘫痪，导致了伊朗全国范围内的燃料短缺。

事实上，早在以色列与哈马斯的战争进一步加剧两国紧张局势之前，Predatory Sparrow多年来就一直在密切关注着伊朗。该组织经常针对伊朗平民发起破坏性攻击，这些攻击多在伊朗黑客或军事代理侵略行为之后进行。例如，最新的加油站袭击事件就发生在伊朗黑客破坏以色列制造的自来水设备以及伊朗支持的胡塞叛军向以色列发射导弹并袭击红海的运输船只之后。当时，Predatory Sparrow在推特上用波斯语向伊朗最高领导人喊话：“哈梅内伊！我们将对你们在该地区的邪恶挑衅作出回应。”

虽然Predatory Sparrow保持着黑客活动组织的外表——该组织还经常假装其成员就是伊朗人——但其技术的复杂性表明这一组织很可能来自于政府或军方。美国国防部消息人士在2021年接受《纽约时报》采访时将其与以色列联系在了一起。

不仅如此，一些跟踪该组织的网络安全分析师表示，该组织实施的攻击大多数都已经符合网络战的定义，其标志之一是“克制”——即限制其可能造成的损害，同时证明其本身可以取得更多成果。其实笔者认为这里将“克制”改为“尝试显得克制”更准确：已经至少有两名胡齐斯坦工人在钢厂袭击中遭受到了人身危险，这与其声称的相比明显是个例外。

网络安全公司SentinelOne的分析师胡安•安德烈斯•格雷罗萨德 (Juan Andres Guerrero-Saade) 多年来一直在追踪该组织，他表示，Predatory Sparrow最突出的特点是，它明显有兴趣通过网络攻击传递一条特定的地缘政治信息。这些信息都是同一个主题的变体：如果你们攻击以色列或其盟友，我们就有能力深度破坏你们的文明。格雷罗萨德说：“他们表明自己能以某种意味深长的方式触达伊朗，他们是这样说的，‘你可以在代理人战争中支持胡塞武装、哈马斯和真主党。但我们，Predatory Sparrow，无需离开我们所在的地方，就可以一点一点地摧毁你的国家。‘ ”

以下是 Predatory Sparrow 短暂但杰出的超破坏性网络攻击记录的简要历史。

2021年

铁路系统混乱

2021年7月初，本来用于展示伊朗国家铁路系统时刻表的计算机突然开始显示波斯语消息，宣布“铁路由于网络攻击而长时间延误”，或者干脆“取消”，并附有伊朗最高领袖阿里哈梅内伊的办公室电话号码——这似乎是在建议伊朗人拨打该号码以获取最新消息或表达抗议。SentinelOne的格雷罗萨德分析了这次攻击中使用的恶意软件（他将其称为 Meteor Express），发现黑客部署了一个三阶段擦除程序，该程序会破坏计算机的文件系统，锁定用户，然后擦除计算机在启动时用于定位操作系统的主引导记录。伊朗法尔斯广播电台报道称，网络攻击导致了“前所未有的混乱”，但随后删除了该声明。

大约在同一时间，伊朗道路和城市发展部网络上的计算机也受到了擦除工具的攻击。以色列安全公司 CheckPoint对擦除器恶意软件的分析显示，黑客很可能在几年前在叙利亚入侵与伊朗有关的目标时使用了同一工具的不同版本，当时，该黑客组织以印度教中掌管暴风雨的神“因陀罗”命名。

Predatory Sparrow在其Telegram频道上用波斯语发表的一篇文章中写道：“我们这次网络攻击的目标是在维护同胞安全的同时，表达我们对政府部门及相关组织竟然允许国家遭受虐待和残忍行为的厌恶。”该组织冒充伊朗黑客，声称对此次袭击负责。

2021年

加油站瘫痪

仅仅几个月后，2021年10月26日，Predatory Sparrow再次发起了攻击。这次，它针对的是服务伊朗大部分加油站的销售系统，共摧毁了4,000多个加油站的公民汽油补贴卡付款系统。伊朗移民、网络安全公司DarkCell的创始人哈米德•卡什菲 (Hamid Kashfi) 分析了这次攻击，但直到上个月才公布了详细的调查结果。他指出，这次袭击发生在伊朗政府试图减少燃料补贴、引发全国骚乱的两年后。与铁路袭击相呼应的是，黑客在加油站屏幕上显示了一条带有最高领袖电话号码的信息，似乎将这次加油站瘫痪也归咎于伊朗政府。卡什菲说：“从更高维度来看，它似乎企图在该国再次引发骚乱，以疏远政府与人民之间的距离，造成更加紧张的局势。”

这次袭击立即导致伊朗各地加油站排起长队，并持续数天。但卡什菲认为，尽管加油站袭击造成了巨大影响，但Predatory Sparrow这次表现出了真正的克制。他根据伊朗安全事件响应人员上传到VirusTotal的详细数据推断，黑客有足够的权限访问加油站的支付基础设施，从而摧毁整个系统，迫使加油站手动重新安装软件，甚至重新发行补贴卡。但事实与此相反，他们只是以一种相对更易快速恢复的方式将销售系统删除。

Predatory Sparrow甚至在其Telegram帐户上声称，它已向销售系统供应商Ingenico发送了电子邮件，警告该公司其软件中存在未修补的漏洞，该漏洞可能会被用来造成支付系统长时间中断的严重后果。（奇怪的是，Ingenico的一位发言人告诉《连线》杂志，其安全团队从未收到过任何此类电子邮件。）

Predatory Sparrow还在Telegram上写道，它向伊朗民用应急服务部门发送了提醒短信，并贴出了在袭击发生前警告这些应急服务部门为车辆加油的屏幕截图。“你不常见到这种事，对吧？” 卡什菲说。“他们选择进行非常干净、可控的破坏。”

2022年

钢厂崩溃

2022年6月，Predatory Sparrow实施了历史上最明目张胆的网络破坏行为之一，引发伊朗Khouzestan钢厂钢水泄漏，工厂火灾。

为了证明自己实施了这次攻击，而不仅仅是声称自己对不相关的工业事故负责，黑客在 Telegram上发布了一张钢厂用于控制其设备的所谓人机界面或HMI软件的屏幕截图。调查该事件的SCADAfence首席技术官Paul Smith很快在伊朗IT公司Irisa的网站上找到了一个页面，该页面将Khouzestan钢厂列为其案例之一，与HMI屏幕截图上的Irisa徽标相匹配。

史密斯说，他还发现Predatory Sparrow用于记录其攻击视频的HMI软件和监控摄像头都连接到了互联网，并且可以在Shodan上找到，Shodan是一个对易受攻击的物联网设备进行分类的搜索引擎。史密斯有在钢厂工作的背景，他推测攻击造成的损害是由于黑客利用人机界面的访问权限绕过了炼钢过程中的“脱气”步骤，该步骤用于去除钢水中滞留的气体，如果略去该步骤很可能会引起爆炸。他推测，正是这种滞留在钢水中的气体爆炸，导致钢包移动并将钢水倾倒在工厂地板上。

黑客网络攻击之前的胡泽斯坦钢铁厂

袭击开始后，余烬、火焰和烟雾充满了工厂

燃烧的钢水溢出到工厂地板

Predatory Sparrow发布到Telegram的视频中宣称，它“小心翼翼地进行了这次袭击，以保护无辜的工人”，并暗示它已经控制了监控录像，以确保没有人处于危险之中。史密斯并不认同这种说法。他认为，除了两名伊朗钢铁工人被迫在飞舞的余烬中奔跑、距离燃烧的液态金属只有几英尺之外，观众也看不到还有谁可能受到伤害。“你不知道是否有人受伤，”史密斯说。

胡齐斯坦钢厂只是Predatory Sparrow入侵破坏的三个钢铁设施之一。有些入侵行动不仅仅造成物理破坏。一周后，该组织开始发布从这三个钢铁设施（所有这些设施均面临西方制裁）窃取的数万封电子邮件，旨在证明它们与伊朗军方的关系。

2023年

加油站瘫痪

随着哈马斯10月7日对以色列南部发动袭击以及以色列在加沙地带采取压倒性军事反应，整个中东地区的紧张局势不断升级，Predatory Sparrow也许不可避免地会在这场迅速发展的冲突中发挥作用。特别是在伊朗支持的胡塞叛军开始封锁红海的航运，以及一个与伊朗有联系的自称CyberAveng3rs的黑客组织攻击了美国各地的供水设施并留下反以色列信息后，Predatory Sparrow组织于12月18日重新启动了其2021年发动过的加油站攻击，并再次导致伊朗大多数加油站的销售系统瘫痪。

虽然这次最新攻击的技术细节仍然很少，但DarkCell的哈米德•卡什菲 (Hamid Kashfi) 表示，尽管所利用的设备中的安全漏洞不同，但这次攻击似乎仍遵循了与 2021年黑客事件相同的剧本。Predatory Sparrow再次发布了声称在攻击之前发送给伊朗应急服务部门的信息，表明试图限制造成伤害的范围。“与我们之前的行动一样，这次网络攻击是以受控方式进行的，同时采取措施限制对应急服务的潜在损害，”该组织在Telegram上发布的一条消息中写道。

Predatory Sparrow也再次明确表示，其黑客行为的目的是传递信息。“这次网络攻击是对伊斯兰共和国及其在该地区代理人侵略的回应。”该组织的另一条消息还写道：“哈梅内伊，玩火是要付出代价的。”

SentinelOne的格雷罗萨德认为，像加油站网络攻击这样的行动表明，Predatory Sparrow可能成为网络政策专家所说的“信号发生器”的第一个有效例证——即利用网络攻击能力传递出旨在阻止对手行为的信息。他说，这是因为该黑客组织具有明显政治动机的攻击行为中，包含着相对克制和歧视的态度，同时又表明了其明确的意愿——愿意利用其黑客攻击能力产生更为广泛的影响——与此相反的是，美国的黑客机构，如国家安全局和网络司令部，往往缺乏这种意愿。

“如果你不能向对方明确表明，你不但拥有某种能力，还愿意使用这种能力，那么，这就不是一个有效的信号发生器。”格雷罗萨德说。

还有一些网络安全研究人员，将Predatory Sparrow视为更负责任的网络战的典范，因为其对平民更加谨慎。然而，在以色列军方针对哈马斯10月7日的“大屠杀”杀害了数万名巴勒斯坦平民，并导致数百万人流离失所之后，任何可能与以色列政府有联系的黑客组织的克制或歧视的暗示都值得怀疑。

格雷罗萨德本人承认，钢厂袭击视频，尤其是两名伊朗工作人员明显险些死亡的视频，引发了人们对Predatory Sparrow“谨慎”攻击方式的成本的质疑。

“它完美吗？没有伤亡或担忧吗？一点也不。”格雷罗萨德说。“我并不是说我支持它。（我只是觉得这不合常理）我确实被它吸引住了。”

* 本文为晨雨编译，原文地址：https://www.wired.com/story/predatory-sparrow-cyberattack-timeline/
图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】—

更多推荐

原文始发于微信公众号（数世咨询）：新闻揭秘：一个神秘黑客组织对伊朗攻击大盘点