Hackerangreb på Irans Nobitex-børs
$90 millioner forsvandt fra Irans Nobitex-børs. Ifølge TRM Labs antyder beviser, at pro-israelske hackere angiveligt har siphonet midler og muligvis beslaglagt følsomme data for at afdække iranske spioner, der blev betalt i kryptovaluta.
Arrestationer relateret til spionage
Dage efter hacken blev tre israelske borgere arresteret for angiveligt at udføre spionageaktiviteter, såsom overvågning, propaganda og efterretningsindsamling i bytte for kryptovaluta-betalinger på vegne af iransk efterretning. TRM Labs bemærkede, at “arrestationerne repræsenterer en sjælden offentlig sag om statsstøttet spionage, hvor operatører blev kompenseret med digitale aktiver.”
Detaljer om de anklagede
Efterforskningen hævder, at hver mistænkt modtog kryptobetalinger efter at have afsluttet specifikke opgaver, med midler leveret via anonymiserede blockchain-kanaler. En af de anklagede, Dmitri Cohen, 28, fra Haifa, skulle angiveligt have sporet og fotograferet medlemmer af premierminister Benjamin Netanyahus familie. Han er anklaget for at have spioneret på Amit Yardeni, Netanyahus kommende svigerdatter, forud for hendes bryllup.
En anden mistænkt, 27 år gammel fra Tel Aviv, blev tilbageholdt for angiveligt at have fotograferet militære steder, regeringsbygninger og tagget graffiti. Myndighederne beslaglagde flere enheder fra hans hjem under efterforskningen. En tredje mistænkt, 19 år gammel fra Sharon-regionen, skulle angiveligt have videregivet klassificerede oplysninger til iranske kontakter.
Mulige forbindelser til cyberangrebet
Selvom israelske embedsmænd ikke offentligt har knyttet arrestationerne til nogen specifik cyberhændelse, antyder TRM Labs, at tidslinjen kan pege på en bredere efterretningsoperation. TRM Labs markerer mulig efterretningsoverlap i spionagesagen vedrørende Nobitex-hacket. “Selvom israelske myndigheder ikke har bekræftet nogen forbindelse mellem hacken og arrestationerne, tyder timingen og den taktiske profil på potentielle efterretningsoverlap,” bemærkede TRM Labs.
Firmaet bemærkede, at israelske luftangreb fandt sted den 13. juni, efterfulgt af hacken af den Iran-baserede kryptovalutabørs Nobitex den 18. juni, og derefter arrestationerne den 24. juni. Indtil nu har der dog ikke været solidt bevis, der knytter Israel til cyberangrebet den 18. juni på Nobitex, Irans største kryptovalutabørs.
Konsekvenser af hacken
En pro-israelsk hackergruppe, Predatory Sparrow, også kendt som Gonjeshke Darande, påtog sig ansvaret for bruddet. Gruppen hævdede, at de ikke kun havde slettet $90 millioner fra børsen, men også frigivet den iranske børs fulde kildekode, inklusive serverlister, kolde tegnebogsscripts og privatlivsindstillinger.
TRM Labs antyder, at bruddet kunne have givet adgang til KYC-optegnelser, hvilket potentielt kunne hjælpe israelske cyberenheder med at identificere iranske håndterere eller kortlægge kryptovalutabetalinger til lokale operatører.
Irans brug af kryptovaluta
Irans brug af kryptovaluta i hemmelige operationer er ikke ny. Rapporterne afslørede, at Iran rutinemæssigt bruger kryptovaluta til at finansiere proksier, undgå sanktioner og støtte cyberoperationer. Lignende mønstre er opstået i andre lande, som for eksempel da Sydkorea arresterede personer knyttet til nordkoreansk efterretning for at have videregivet militære hemmeligheder i bytte for kryptovaluta.
