Hacking av Irans Nobitex-børs
$90 millioner forsvant fra Irans Nobitex-børs. Nå antyder TRM Labs at pro-israelske hackere angivelig har tappet midler og muligens beslaglagt sensitiv informasjon for å avdekke iranske spioner som ble betalt i kryptovaluta.
Arrestasjoner og spionasjeaktiviteter
Dager etter hackingen ble tre israelske borgere arrestert for angivelig å ha utført spionasjeaktiviteter, inkludert overvåking, propaganda og etterretningsinnsamling, i bytte mot kryptovalutabetalinger på vegne av iransk etterretning. Den israelske spionasjesaken fremhever bruken av kryptovaluta for statlig støttede operasjoner.
«Arrestasjonene representerer et sjeldent offentlig tilfelle av statssponset spionasje der operatører ble kompensert med digitale eiendeler.»
Etterforskningen påstår at hver mistenkte mottok kryptoutbetalinger etter å ha fullført spesifikke oppdrag, med midler levert via anonymiserte blockchain-kanaler. En av de tiltalte, Dmitri Cohen, 28, fra Haifa, skal ha sporet og fotografert medlemmer av statsminister Benjamin Netanyahus familie. Han er anklaget for å ha spionert på Amit Yardeni, Netanyahus fremtidige svigerdatter, før bryllupet hennes.
Detaljer om de mistenkte
Etterforskerne sier at Cohen brukte en dedikert enhet for å opprettholde kryptert kontakt med sin iranske håndterer og mottok tusenvis av dollar i kryptovaluta, omtrent $500 per oppdrag. En annen mistenkt, 27 år gammel fra Tel Aviv, ble pågrepet for angivelig å ha fotografert militære steder, regjeringsbygninger og tagget graffiti. Myndighetene beslagla flere enheter fra hjemmet hans under etterforskningen.
En tredje mistenkt, 19 år gammel fra Sharon-regionen, skal ha overlevert klassifisert informasjon til iranske kontakter. Han ble angivelig rekruttert på nettet og opprettholdt langvarig kommunikasjon med iranske operatører under nylige spenninger mellom de to landene.
Mulige forbindelser til cyberangrep
Selv om israelske tjenestemenn ikke offentlig har knyttet arrestasjonene til noen spesifikke cyberhendelser, antyder TRM Labs at tidslinjen kan peke mot en bredere etterretningsoperasjon. TRM Labs flagger mulig etterretningsoverlapp i spionasjesaken som involverer Nobitex-hacket.
«Selv om israelske myndigheter ikke har bekreftet noen forbindelse mellom hackingen og arrestasjonene, antyder timingen og den taktiske profilen potensielle etterretningsoverlapper.»
Selskapet bemerket at israelske luftangrep fant sted 13. juni, etterfulgt av hackingen av den Iran-baserte kryptobørsen Nobitex 18. juni, og deretter arrestasjonene 24. juni. Imidlertid har det til nå ikke vært solid bevis som knytter Israel til cyberangrepet 18. juni på Nobitex, Irans største kryptovalutabørs, selv om en pro-israelsk hackergruppe, Predatory Sparrow, også kjent som «Gonjeshke Darande», påtok seg ansvaret for bruddet.
Konsekvenser av hackingen
I tillegg hevdet den pro-israelske hackergruppen Gonjeshke Darande at de ikke bare slettet $90 millioner fra børsen, men også frigjorde den iranske børsens fulle kildekode, inkludert serverlister, kalde lommebokskript og personverninnstillinger. Det er bemerkelsesverdig at gruppen tidligere har målrettet iransk infrastruktur for etterretningsinnsamling.
TRM Labs antyder at bruddet kan ha gitt tilgang til KYC-poster, noe som potensielt kan hjelpe israelske cyberenheter med å identifisere iranske håndterere eller kartlegge kryptobetalinger til lokale operatører.
Irans bruk av kryptovaluta
Irans bruk av kryptovaluta i hemmelige operasjoner er ikke ny. Rapporter har avslørt at Iran rutinemessig bruker kryptovaluta for å finansiere proksier, unngå sanksjoner og støtte cyberoperasjoner. Lignende mønstre har dukket opp i andre land. I samme år arresterte Sør-Korea individer knyttet til nordkoreansk etterretning for å ha overlevert militære hemmeligheter i bytte mot kryptovaluta.
