يبدو أن هذه الموجة الأولية من اختراق Cyberav3ngers ، سواء كانت حقيقية ومصنعة ، جزءًا من مجموعة من القراصنة العدوانية الأخرى التي يُعتقد أنها تعمل على نطاق واسع نيابة عن وكالات الجيش أو الاستخبارات الإسرائيلية. هذه المجموعة المتنافسة ، المعروفة باسم Sparrow المفترس ، استهدفت مرارًا وتكرارًا أنظمة البنية التحتية الحرجة الإيرانية مع الاختباء بالمثل خلف جبهة هاكتي. في عام 2021 ، عطلت أكثر من 4000 محطة غاز إيرانية في جميع أنحاء البلاد. ثم ، في عام 2022 ، أشعلت النار في مصنع الصلب في الهجوم الإلكتروني الأكثر تدميراً في التاريخ. بعد حملة اختراق Cyberav3ngers في أواخر عام 2023 ، وإطلاق الصواريخ ضد إسرائيل من قبل المتمردين الحوثيين المدعومين من الإيرانيين ، انتقّم العصفور المفترس مرة أخرى من خلال إخراج الآلاف من محطات الوقود الإيرانية في ديسمبر من ذلك العام.
“خامني!” كتب العصفور المفترس على X ، في إشارة إلى الزعيم الأعلى لإيران في الفارسي. “سوف نتفاعل مع استفزازاتك الشريرة في المنطقة.”
تركزت هجمات العصفور المفترسة بإحكام على إيران. لكن Cyberav3ngers لم يقتصر على الأهداف الإسرائيلية ، أو حتى الأجهزة الإسرائيلية المصنوعة في بلدان أخرى. في شهر أبريل ومايو من العام الماضي ، يقول دراجوس ، لقد انتهكت المجموعة شركة نفط والغاز في الولايات المتحدة – رفضت دراجوس تسمية أي شخص – من خلال المساس بأجهزة Sophos و Fortinet الخاصة بالشركة. وجدت Dragos أنه في الأشهر التي تلت ذلك ، كانت المجموعة تقوم بمسح الإنترنت لأجهزة نظام التحكم الصناعية الضعيفة ، بالإضافة إلى زيارة مواقع الويب الخاصة بمصنعي تلك الأجهزة لقراءتها.
بعد هجماتها في أواخر عام 2023 ، أقرت وزارة الخزانة الأمريكية ستة من مسؤولي IRGC التي تقول إنها مرتبطة بالمجموعة ، ووضعت وزارة الخارجية مكافأة بقيمة 10 ملايين دولار على رؤوسهم. ولكن بعيدًا عن الردع ، أظهر Cyberav3ngers بدلاً من ذلك علامات على التطور إلى تهديد أكثر انتشارًا.
في ديسمبر الماضي ، كشف كلاروتي أن Cyberav3ngers أصيبوا بمجموعة واسعة من أنظمة التحكم الصناعية وأجهزة الإنترنت (IoT) في جميع أنحاء العالم باستخدام قطعة من البرامج الضارة التي طورتها. كانت الأداة ، التي تسميها Claroty Iocontrol ، عبارة عن بورز قائم على Linux يخفي اتصالاته في بروتوكول يُعرف باسم MQTT تستخدمه أجهزة إنترنت الأشياء. تم زرعه على كل شيء من أجهزة التوجيه إلى الكاميرات إلى أنظمة التحكم الصناعية. تقول دراجوس إنها عثرت على أجهزة مصابة بالمجموعة في جميع أنحاء العالم ، من الولايات المتحدة إلى أوروبا إلى أستراليا.
وفقًا لـ Claroty و Dragos ، سيطر مكتب التحقيقات الفيدرالي على خادم القيادة والسيطرة على IOControl في نفس الوقت الذي يحمله تقرير كلاروتي في ديسمبر ، مما أدى إلى تحييد البرامج الضارة. (لم يرد مكتب التحقيقات الفيدرالي على طلب Wired للتعليق على العملية.) لكن حملة القرصنة الخاصة بـ Cyberav3ngers تُظهر تطورًا خطيرًا في تكتيكات المجموعة ودوافعها ، وفقًا لنوم موشيه ، الذي يتتبع المجموعة من أجل Claroty.
يقول موشيه: “إننا نرى cyberav3ngers ينتقلون من عالم المهاجمين الانتهازيين حيث كان هدفهم كله ينشر رسالة في عالم تهديد مستمر”. ويضيف قائلاً: “لقد أرادوا أن يكونوا قادرين على إصابة جميع أنواع الأصول التي يحددونها على أنها حاسمة وترك البرامج الضارة هناك كخيار للمستقبل.”
بالضبط ما قد تنتظره المجموعة – على الأرجح بعض اللحظة الإستراتيجية التي يمكن أن تكتسب فيها الحكومة الإيرانية ميزة جيوسياسية من التسبب في اضطراب رقمي واسع النطاق – بعيدًا عن الوضوح. لكن تصرفات المجموعة تشير إلى أنه لم يعد يسعى إلى إرسال رسالة احتجاج ضد الأفعال العسكرية الإسرائيلية. بدلاً من ذلك ، يقول موشيه ، إنه يحاول الحصول على القدرة على تعطيل البنية التحتية الأجنبية حسب الرغبة.
يقول: “هذا يشبه زر أحمر على مكتبهم. في إشعار لحظة أنهم يريدون أن يكونوا قادرين على مهاجمة العديد من القطاعات المختلفة ، والعديد من الصناعات المختلفة ، والعديد من المنظمات المختلفة ، ومع ذلك يختارون”. “وهم لا يذهبون بعيدا.”
