گنجشک درنده نام یک گروه هکر است که مسئولیت حملهی سایبری به جایگاههای سوخت و سامانهی کارت سوخت در ۲۷ آذر ۱۴۰۲ را به عهده گرفته است. گفته میشود این گروه وابسته به اسرائیل است.
این گروه که گفته میشود وابسته به اسرائیل است، دو سال قبل نیز مدعی هک سیستم راه آهن و وزارت راه در تیرماه۱۴۰۰ و هک جایگاه های پمپ بنزین در آذر ۱۴۰۰ شده بود. در جریان هک شبکه سوخت کشور مسئولان مدعی شدند، در دولت گذشته زیرساخت های امنیتی بی توجهی شده است، حال بعد از دو سال همان گروه شبکه آفلاین کارت سوخت کشور را مختل کرده و از دسترس خارج کرده است.
دیدهبان ایران در جریان هک گسترده سیستم راه آهن و وزارت راه که توسط رسانهها و خبرگزاری های دولتی مسکوت گذاشته شده بود به نقل از کارشناسان امنیت سایبری به جرییات آن حمله دست پیدا کرد؛ در جریان حمله تیرماه سال ۱۴۰۰ به ۴۰۰ سرور وزارت راه و سامانه راه آهن حمله شد که پس از ۴۸ ساعت فقط ۵ سرور فعال باقی مانده بودند.
در پی وقوع هک سامانههای شرکت راه آهن در سال ۱۴۰۰، این شرکت ناچار شد گراف (مدیریت سیر و حرکت) قطارهای باری و مسافری را از حالت سیستمی به دستی تغییر دهد.
حتی یک روز پس از انتشار خبر هک سامانه راه آهن؛ وبسایت رسمی وزارت راه و شهرسازی دچار اختلال و پیامی روی آن درج شد که از هک شدن این وبسایت حکایت دارد. این وبسایت ساعاتی بعد از دسترس هم خارج شد.
ماجرای هک سیستم های راه آهن و وزارت راه تا بیش از پنج روز با پاسخ مشخصی همراه نشد؛ تا اینکه مرکز ماهر در گزارشی اعلام کرد بررسی سه آسیبپذیری out HP-Integerated lights با شناسههای CVE-2017-12542، CVE-2018-7105 ،CVE-2018-7078 در سطح کشور نشان میدهد، برخی از شبکههای کشور در برابر این ضعفها به درستی محافظت نشدهاند.
پیکربندی نادرست، عدم بهروزرسانی به موقع و عدم اعمال سیاستهای صحیح امنیتی در هنگام استفاده ازHP Integrated Lights-Out از دلایل اصلی این ضعف در شبکههای کشور است. جدول زیر مشخصات این سه آسیبپذیری را نمایش میدهد. چند هفته پس از حمله هکرهای به راه آهن ایران، کمپانی امنیت سایبری اسرائیلی – آمریکایی گروهی به نام «ایندرا»، را به عنوان عامل پشت پردهٔ این حمله، که منجر به «اختلال در سطح کشور» شد، نام برد.
اما گروه سایبری گنجشک درنده کیست؟
ممکن است ایندرا همان گنجشک درنده باشد؛ این گروه هکری البته در بیانیهای که در زمان حملات سایبری سال ۱۴۰۰ در اختیار برخی رسانههای خارج از کشور گذاشته، اعلام کرد که در جریان برنامهریزی برای حمله سایبری متوجه ضعفی بزرگ در زیرساختهای کشور شدهاند که میتوانست آسیب درازمدتتری ایجاد کرده و صدمه بیشتری به جایگاههای سوختی برساند، اما تصمیم گرفتند آسیب وسیعتری نرسانند.
در جریان آن حمله سایبری که تیرماه امسال رخ داد، اختلال سایبری در سیستمهای کامپیوتری کارکنان ستاد وزارت راه و شهرسازی ظاهر شد که در پی آن پورتال وزارتخانه و سایتهای زیر پرتال آن از دسترس خارج شدند. همچنین تابلوهای نمایشگر راهآهن تهران هم هک شده و پیغامهایی رویشان ظاهر شد.
در آن زمان مرکز ماهر در اطلاعیهای نسبت به کنترل دسترسی به سرویس HP-INTEGERATED LIGHTS OUT و پیکربندی نادرست آن هشدار داد و نیز مرکز مدیریت راهبری افتای ریاست جمهوری، کمتوجهی به الزامات امنیتی ابلاغ شده از قبیل طرح امنسازی زیرساختهای حیاتی در قبال حملات سایبری و هشدارهای مرکز مدیریت راهبردی افتا را علت اصلی بروز حملات سایبری به وزارت راه و شهرسازی و شرکت راهآهن بوده است.
البته لازم به ذکر است گروه هکری گنجشک درنده خرابکاریهای زیرساختی دیگری نیز در گذشته داشته است. به عنوان مثال گنجشک درنده پیشتر مدعی شده بود که به کارخانههای بزرگ فولاد ایران حمله سایبری کرده است. و در آن برهه، خبرنگاران ارتش رژیم صهیونیستی که مقامات ارشد این رژیم دائما با آنها جلسات غیر رسمی برگزار میکردند، مدعی شدند که تلآویو پشت آن حمله بوده است.