لانه « گنجشک درنده » کجاست؟

گنجشک درنده نام یک گروه هکر است که مسئولیت حمله‌ی سایبری به جایگاه‌های سوخت و سامانه‌ی کارت سوخت در ۲۷ آذر ۱۴۰۲ را به عهده گرفته است. گفته می‌شود این گروه وابسته به اسرائیل است.

این گروه که گفته می‌شود وابسته به اسرائیل است، دو سال قبل نیز مدعی هک سیستم راه آهن و وزارت راه در تیرماه۱۴۰۰ و هک جایگاه های پمپ بنزین در  آذر ۱۴۰۰ شده بود. در جریان هک شبکه سوخت کشور مسئولان مدعی شدند، در دولت گذشته  زیرساخت های امنیتی بی توجهی شده است، حال بعد از دو سال همان گروه شبکه آفلاین کارت سوخت کشور را مختل کرده و از دسترس خارج کرده است.

دیده‌بان ایران در جریان هک گسترده سیستم راه آهن و وزارت راه که توسط رسانه‌ها و خبرگزاری های دولتی مسکوت گذاشته شده بود به نقل از کارشناسان امنیت سایبری به جرییات آن حمله دست پیدا کرد؛ در جریان حمله تیرماه سال ۱۴۰۰ به  ۴۰۰ سرور وزارت راه و سامانه راه آهن حمله شد که پس از ۴۸ ساعت فقط ۵ سرور فعال باقی مانده بودند.

در پی وقوع هک سامانه‌های شرکت راه آهن در سال ۱۴۰۰، این شرکت ناچار شد گراف (مدیریت سیر و حرکت) قطارهای باری و مسافری را از حالت سیستمی به دستی تغییر دهد.

حتی یک روز پس از انتشار خبر هک سامانه راه آهن؛ وبسایت رسمی وزارت راه و شهرسازی دچار اختلال و پیامی روی آن درج شد که از هک شدن این وبسایت حکایت دارد. این وبسایت ساعاتی بعد از دسترس هم خارج شد.

ماجرای هک سیستم های راه آهن و وزارت راه تا بیش از پنج روز با پاسخ مشخصی همراه نشد؛ تا اینکه مرکز ماهر در گزارشی اعلام کرد بررسی سه ‫آسیب‌پذیری out HP-Integerated lights با شناسه‌های CVE-2017-12542، CVE-2018-7105 ،CVE-2018-7078 در سطح کشور نشان می‌دهد، برخی از شبکه‌های کشور در برابر این ضعف‌ها به درستی محافظت نشده‌اند.

پیکربندی نادرست، عدم به‌روزرسانی به موقع و عدم اعمال سیاست‌های صحیح امنیتی در هنگام استفاده ازHP Integrated Lights-Out از دلایل اصلی این ضعف در شبکه‌های کشور است. جدول زیر مشخصات این سه آسیب‌پذیری را نمایش می‌دهد. چند هفته پس از حمله هکرهای به راه آهن ایران، کمپانی امنیت سایبری اسرائیلی – آمریکایی گروهی به نام «ایندرا»، را  به عنوان عامل پشت پردهٔ این حمله، که منجر به «اختلال در سطح کشور» شد، نام برد.

اما گروه سایبری گنجشک درنده کیست؟ 

ممکن است ایندرا همان گنجشک درنده باشد؛  این گروه هکری البته در بیانیه‌ای که در زمان حملات سایبری سال ۱۴۰۰ در اختیار برخی رسانه‌های خارج از کشور گذاشته، اعلام کرد که در جریان برنامه‌ریزی برای حمله سایبری متوجه ضعفی بزرگ در زیرساخت‌های کشور شده‌اند که می‌توانست آسیب درازمدت‌تری ایجاد کرده و صدمه بیشتری به جایگاه‌های سوختی برساند، اما تصمیم گرفتند آسیب وسیع‌تری نرسانند.

در جریان آن حمله سایبری که تیرماه امسال رخ داد، اختلال سایبری در سیستم‌های کامپیوتری کارکنان ستاد وزارت راه و شهرسازی ظاهر شد که در پی آن پورتال وزارتخانه و سایت‌های زیر پرتال آن از دسترس خارج شدند. همچنین تابلوهای نمایشگر راه‌آهن تهران هم هک شده و پیغام‌هایی رویشان ظاهر شد.

در آن زمان مرکز ماهر در اطلاعیه‌ای نسبت به کنترل دسترسی به سرویس HP-INTEGERATED LIGHTS OUT و پیکربندی نادرست آن هشدار داد و نیز مرکز مدیریت راهبری افتای ریاست جمهوری، کم‌توجهی به الزامات امنیتی ابلاغ شده از قبیل طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری و هشدارهای مرکز مدیریت راهبردی افتا را علت اصلی بروز حملات سایبری به وزارت راه و شهرسازی و شرکت راه‌آهن بوده است.

البته لازم به ذکر است گروه هکری گنجشک درنده خرابکاری‌های  زیرساختی دیگری نیز در گذشته داشته است. به عنوان مثال گنجشک درنده پیش‌تر مدعی شده بود که به کارخانه‌های بزرگ فولاد ایران حمله سایبری کرده است. و در آن برهه، خبرنگاران ارتش رژیم صهیونیستی که مقامات ارشد این رژیم دائما با آنها جلسات غیر رسمی برگزار می‌کردند، مدعی شدند که تل‌آویو پشت آن حمله بوده است.