Iranin Nobitex-pörssin hakkerointi
Iranin Nobitex-pörssistä katosi 90 miljoonaa dollaria. TRM Labsin mukaan Israelia tukevat hakkerit ovat ilmeisesti varastaneet varoja ja mahdollisesti saaneet haltuunsa arkaluontoisia tietoja paljastaakseen iranilaisia vakoilijoita, jotka on maksettu kryptovaluutalla.
Vakoilutoiminta ja pidätykset
Päiviä hakkeroinnin jälkeen kolme israelilaista kansalaista pidätettiin väitetystä vakoilutoiminnasta, joka käsitti valvontaa, propagandaa ja tiedustelutehtäviä kryptovaluuttamaksuja vastaan Iranin tiedustelun puolesta. Tämä tapaus korostaa kryptovaluutan käyttöä valtion tukemissa operaatioissa.
”Pidätykset edustavat harvinaista julkista tapausta valtion tukemasta vakoilusta, jossa operatiiviset henkilöt saivat korvauksen digitaalisten varojen avulla.”
Tutkimuksessa väitetään, että jokainen epäilty sai kryptovaluuttamaksuja suorittaessaan tiettyjä tehtäviä, ja varat toimitettiin anonymisoitujen lohkoketjukanavien kautta.
Epäiltyjen toimet
Yksi syytetyistä, 28-vuotias Dmitri Cohen Haifasta, seurasi ja valokuvasi pääministeri Benjamin Netanjahun perheenjäseniä. Häntä syytetään vakoilusta Netanjahun tulevan miniän, Amit Yardenin, suhteen ennen hänen häitään. Tutkijat sanovat, että Cohen käytti erityistä laitetta ylläpitääkseen salattua yhteyttä iranilaiseen käsittelijäänsä ja sai tuhansia dollareita kryptovaluuttana, noin 500 dollaria tehtävää kohden.
Toinen, 27-vuotias epäilty Tel Avivista, pidätettiin väitetystä sotilasalueiden, hallintorakennusten valokuvaamisesta ja graffitien merkitsemisestä. Viranomaiset takavarikoivat useita laitteita hänen kodistaan tutkimuksen aikana.
Kolmas epäilty, 19-vuotias Sharonin alueelta, väitetysti välitti luottamuksellisia tietoja iranilaisille kontakteille. Häntä väitetään rekrytoidun verkossa, ja hän piti pitkään yhteyttä iranilaisiin operatiivisiin henkilöihin viime aikojen jännitteiden aikana maiden välillä.
Yhteys Nobitex-hyökkäykseen
Vaikka Israelin viranomaiset eivät ole julkisesti yhdistäneet pidätyksiä mihinkään tiettyyn kyberhyökkäykseen, TRM Labs ehdottaa, että aikajana saattaa viitata laajempaan tiedustelutoimintaan. TRM Labs nostaa esiin mahdollisen tiedustelun päällekkäisyyden Nobitex-hyökkäykseen liittyvässä vakoilutapauksessa.
”Vaikka Israelin viranomaiset eivät ole vahvistaneet mitään yhteyttä hakkerointiin ja pidätyksiin, aikataulu ja taktinen profiili viittaavat mahdollisiin tiedustelupäällekkäisyyksiin.”
Yritys totesi, että Israelin ilmaiskut tapahtuivat 13. kesäkuuta, jota seurasi Iranissa sijaitsevan kryptovaluuttapörssi Nobitexin hakkerointi 18. kesäkuuta ja sitten pidätykset 24. kesäkuuta. Kuitenkin tähän mennessä ei ole ollut vahvaa näyttöä, joka yhdistäisi Israelin 18. kesäkuuta tapahtuneeseen kyberhyökkäykseen Nobitexiin.
Hakkeriryhmien rooli
Israelia tukevat hakkeriryhmät, kuten Predatory Sparrow, tunnetaan myös nimellä ”Gonjeshke Darande”, ovat ottaneet vastuun rikkomuksesta. Ryhmä väittää, että se ei vain pyyhkineet 90 miljoonaa dollaria pörssistä, vaan myös julkaisivat iranilaisen pörssin koko lähdekoodin, mukaan lukien palvelinluettelot, kylmälompakkoskriptit ja yksityisyysasetukset.
Huomionarvoista on, että ryhmä on aiemmin kohdistunut iranilaiseen infrastruktuuriin tiedustelutarkoituksessa. TRM Labs ehdottaa, että rikkomus olisi voinut antaa pääsyn KYC-tietoihin, mikä voisi auttaa Israelin kyberyksiköitä tunnistamaan iranilaisia käsittelijöitä tai kartoittamaan kryptovaluuttamaksuja paikallisille operatiivisille henkilöille.
Kryptovaluutan käyttö Iranissa
Iranin kryptovaluutan käyttö salaisissa operaatioissa ei ole uusi asia. Raportit ovat paljastaneet, että Iran käyttää säännöllisesti kryptovaluuttaa rahoittaakseen välikäsiä, kiertääkseen pakotteita ja tukeakseen kyberoperaatioita. Samankaltaisia malleja on ilmennyt muissa maissa, kuten Etelä-Koreassa, jossa pidätettiin henkilöitä, jotka olivat yhteydessä Pohjois-Korean tiedusteluun sotilas salaisuuksien välittämisestä kryptovaluuttana.
