Predatory Sparrow đã nổi lên như một nhóm tấn công mạng phá hoại tinh vi, nhắm mục tiêu vào cơ sở hạ tầng trọng yếu của Iran trong những năm gần đây. Không giống các chiến dịch tội phạm mạng truyền thống tập trung vào lợi ích tài chính, nhóm này thực hiện các chiến dịch gây gián đoạn nghiêm trọng.

Các cuộc tấn công của chúng được thiết kế để làm tê liệt các dịch vụ thiết yếu, phá hủy dữ liệu nhạy cảm và truyền tải các thông điệp chính trị khiêu khích. Các nhà nghiên cứu bảo mật và phân tích tình báo rộng rãi tin rằng Predatory Sparrow hoạt động dưới sự hậu thuẫn của Israel, đặt các hoạt động của họ trong bối cảnh cuộc chiến tranh mạng ngầm giữa Israel và Iran, vốn đã leo thang đáng kể từ năm 2019.

Mối Đe Dọa Mạng: Các Chiến Dịch Phá Hoại Của Predatory Sparrow

Predatory Sparrow đã thể hiện khả năng đáng báo động trong việc xâm nhập và phá hoại nhiều phân khúc cơ sở hạ tầng quốc gia của Iran. Nhóm này lần đầu tiên gây chú ý quốc tế vào tháng 7 năm 2021.

Khi đó, nhóm đã thành công xâm nhập hệ thống đường sắt quốc gia của Iran, gây ra tình trạng tê liệt hoạt động trên diện rộng và hiển thị thông điệp “cyberattack” trên các bảng thông tin nhà ga trên khắp đất nước.

Cuộc tấn công này đã sử dụng một mã độc wiper phá hoại tinh vi có tên “Meteor”. Mã độc này được thiết kế đặc biệt để làm cho các hệ thống bị nhiễm không thể hoạt động được, đồng thời xóa bỏ bằng chứng pháp y về vụ xâm nhập.

Các Cuộc Tấn Công Leo Thang Gây Hậu Quả Thực Tế

Các hoạt động của nhóm đã leo thang đáng kể vào tháng 6 năm 2022. Predatory Sparrow đã nhận trách nhiệm về một cuộc tấn công mạng vào một cơ sở sản xuất thép của Iran, gây ra một vụ hỏa hoạn lớn, thiệt hại vật chất đáng kể và ngừng sản xuất.

Sự cố này đánh dấu một bước tiến đáng lo ngại trong chiến thuật chiến tranh mạng, cho thấy các cuộc tấn công kỹ thuật số có thể chuyển thành các hiệu ứng vật lý trong thế giới thực với những hậu quả thảm khốc tiềm tàng đối với an toàn công nghiệp và an ninh kinh tế quốc gia.

Vào tháng 12 năm 2023, Predatory Sparrow đã thực hiện một trong những chiến dịch gây gián đoạn rộng lớn nhất của mình. Nhóm này nhắm mục tiêu vào mạng lưới cây xăng trên toàn quốc của Iran.

Nhóm tuyên bố đã vô hiệu hóa phần lớn các máy bơm nhiên liệu của Iran, gây ra sự hỗn loạn cho người dân và thể hiện khả năng tác động đến cuộc sống hàng ngày trên toàn quốc. Trong một tuyên bố đăng trên mạng xã hội X (trước đây là Twitter), nhóm mô tả hoạt động này là hành động trả đũa.

Đây là hành động chống lại các hành động của Cộng hòa Hồi giáo và các lực lượng ủy nhiệm khu vực của họ, cho thấy thông điệp chính trị công khai đi kèm với các hoạt động kỹ thuật của nhóm.

Xâm Nhập Hạ Tầng Tài Chính và Rò Rỉ Dữ Liệu

Các hoạt động gần đây nhất và gây thiệt hại tài chính nặng nề nhất của nhóm diễn ra vào tháng 6 năm 2025, ngay sau các cuộc không kích quân sự của Israel vào các mục tiêu của Iran. Predatory Sparrow đã phát động các cuộc tấn công phối hợp chống lại cơ sở hạ tầng tài chính của Iran.

Đầu tiên, nhóm nhắm mục tiêu vào Ngân hàng Sepah thuộc sở hữu nhà nước với hoạt động mà nhóm mô tả là xóa dữ liệu hoàn toàn. Những kẻ tấn công buộc tội ngân hàng tài trợ cho bộ máy quân sự của Iran và tuyên bố đã làm cho hệ thống kỹ thuật số của ngân hàng hoàn toàn không thể hoạt động.

Điều này đã làm gián đoạn các dịch vụ ngân hàng cho hàng triệu khách hàng tiềm năng. Ngày hôm sau, Predatory Sparrow đã thực hiện một cuộc tấn công cực kỳ phá hoại vào Nobitex, sàn giao dịch tiền điện tử lớn nhất Iran.

Nhóm tuyên bố đã “đốt” khoảng 90 triệu đô la tài sản tiền điện tử bằng cách chuyển chúng đến các địa chỉ blockchain không thể truy cập, khiến số tiền này không thể phục hồi vĩnh viễn.

Thêm vào đó, những kẻ tấn công đã công khai phát hành toàn bộ mã nguồn của Nobitex, tài liệu chi tiết về cơ sở hạ tầng và các tài liệu nghiên cứu và phát triển nội bộ nhạy cảm. Vụ rò rò dữ liệu lớn này không chỉ gây ra tổn thất tài chính ngay lập tức mà còn phơi bày các lỗ hổng hoạt động quan trọng và sở hữu trí tuệ.

Những thông tin này có thể tạo điều kiện cho các cuộc tấn công trong tương lai chống lại sàn giao dịch hoặc các nền tảng tương tự.

Kỹ Thuật và Quy Trình Tấn Công Mạng Của Predatory Sparrow

Phân tích kỹ thuật các hoạt động của Predatory Sparrow cho thấy đây là một đối thủ cực kỳ tinh vi. Nhóm sử dụng các chiến thuật, kỹ thuật và quy trình (TTP) nâng cao. Nhóm thể hiện khả năng trinh sát rộng rãi, thường thực hiện giám sát kỹ lưỡng trước khi tấn công.

Điều này nhằm mục đích lập bản đồ mạng mục tiêu và xác định các hệ thống quan trọng. Mã độc wiper Meteor của chúng có các tệp cấu hình và nhật ký được mã hóa, làm cho việc phân tích pháp y trở nên thách thức đáng kể đối với những người ứng phó sự cố.

Chuỗi tấn công điển hình bắt đầu bằng việc truy cập ban đầu thông qua thông tin xác thực VPN bị xâm phạm hoặc khai thác các ứng dụng đối mặt với công chúng. Một khi đã ở trong mạng mục tiêu, Predatory Sparrow triển khai các tập lệnh batch.

Các tập lệnh này sẽ vô hiệu hóa các biện pháp kiểm soát bảo mật một cách có hệ thống. Điều này bao gồm thêm các tệp độc hại vào danh sách loại trừ của Windows Defender và cố gắng gỡ cài đặt phần mềm chống vi-rút của bên thứ ba như Kaspersky.

Nhóm cũng sử dụng các kỹ thuật chống pháp y như xóa nhật ký sự kiện Windows bằng các tiện ích gốc, xóa sạch bằng chứng về các hoạt động của chúng. Các payload phá hoại của nhóm triển khai nhiều cơ chế để đảm bảo thiệt hại tối đa và ngăn chặn khôi phục hệ thống.

Điều này bao gồm việc xóa tất cả các bản sao bóng (volume shadow copies) bằng các lệnh như: Nguồn tin tức bảo mật.

vssadmin.exe delete shadows /all /quiet

Và phá hoại dữ liệu cấu hình khởi động để ngăn máy bị nhiễm khởi động lại. Một số biến thể của mã độc của chúng thậm chí còn kiểm tra tên máy chủ để tránh thực thi trên hệ thống thông tin hành khách.

Điều này nhằm đảm bảo các thông điệp của chúng hiển thị đúng trên các bảng công cộng, đồng thời không gây ảnh hưởng đến cơ sở hạ tầng cần thiết để truyền đạt các tuyên bố chính trị của họ. Sự xuất hiện của Predatory Sparrow đại diện cho một sự tiến hóa nguy hiểm trong các hoạt động mạng do nhà nước bảo trợ.

Khả năng kỹ thuật tinh vi kết hợp với ý định phá hoại rõ ràng. Điều này tạo ra sự gián đoạn dây chuyền trên các cơ sở hạ tầng quốc gia quan trọng. Khi mối đe dọa này tiếp tục tinh chỉnh các kỹ thuật và mở rộng danh mục mục tiêu của mình, việc phòng thủ đòi hỏi xác thực bảo mật toàn diện.

Cần giám sát liên tục và khả năng mô phỏng các kịch bản tấn công mạng dai dẳng nâng cao để xác định các lỗ hổng phòng thủ trước khi các cuộc tấn công thực sự xảy ra.