Hackerangriff auf die iranische Nobitex-Börse
$90 Millionen verschwanden von der iranischen Nobitex-Börse. Jetzt deutet TRM Labs an, dass pro-israelische Hacker angeblich Gelder abgezweigt und möglicherweise sensible Daten erlangt haben, um iranische Spione zu entlarven, die in Kryptowährung bezahlt wurden.
Festnahmen und Spionageaktivitäten
Tage nach dem Hack wurden drei israelische Staatsbürger festgenommen, die angeblich Spionageaktivitäten durchführten, darunter Überwachung, Propaganda und Informationsbeschaffung im Austausch für Kryptowährungszahlungen im Auftrag des iranischen Geheimdienstes. Der Fall israelischer Spionage hebt die Nutzung von Kryptowährungen für staatlich unterstützte Operationen hervor.
„Die Festnahmen stellen einen seltenen öffentlichen Fall von staatlich geförderter Spionage dar, bei dem die Operativen mit digitalen Vermögenswerten entschädigt wurden.“
Die Untersuchung behauptet, dass jeder Verdächtige Krypto-Zahlungen nach Abschluss spezifischer Aufträge erhielt, wobei die Gelder über anonymisierte Blockchain-Kanäle transferiert wurden. Einer der Beschuldigten, Dmitri Cohen, 28, aus Haifa, soll Mitglieder der Familie von Premierminister Benjamin Netanyahu verfolgt und fotografiert haben. Ihm wird vorgeworfen, Amit Yardeni, Netanyahus zukünftige Schwiegertochter, vor ihrer Hochzeit ausspioniert zu haben.
Details zu den Verdächtigen
Ermittler berichten, dass Cohen ein spezielles Gerät verwendet habe, um verschlüsselten Kontakt mit seinem iranischen Handler aufrechtzuerhalten und Tausende von Dollar in Kryptowährung erhalten habe, etwa 500 Dollar pro Aufgabe. Ein zweiter Verdächtiger, 27 Jahre alt aus Tel Aviv, wurde festgenommen, weil er angeblich militärische Standorte, Regierungsgebäude und Graffiti fotografiert hat. Die Behörden beschlagnahmten während der Untersuchung mehrere Geräte aus seinem Haus. Ein dritter Verdächtiger, 19 Jahre alt aus der Region Sharon, soll vertrauliche Informationen an iranische Kontakte weitergegeben haben. Er wurde angeblich online rekrutiert und hielt während der jüngsten Spannungen zwischen den beiden Ländern längeren Kontakt zu iranischen Operativen.
Verbindung zwischen Hack und Festnahmen
Während israelische Beamte die Festnahmen nicht öffentlich mit einem bestimmten Cybervorfall in Verbindung gebracht haben, deutet TRM Labs an, dass der Zeitrahmen auf eine umfassendere Geheimdienstoperation hindeuten könnte. TRM Labs hebt mögliche Geheimdienstüberlappungen im Spionagefall im Zusammenhang mit dem Nobitex-Hack hervor.
„Obwohl israelische Behörden keine Verbindung zwischen dem Hack und den Festnahmen bestätigt haben, deuten das Timing und das taktische Profil auf potenzielle Geheimdienstüberlappungen hin.“
Das Unternehmen stellte fest, dass israelische Luftangriffe am 13. Juni stattfanden, gefolgt vom Hack der in Iran ansässigen Krypto-Börse Nobitex am 18. Juni und dann den Festnahmen am 24. Juni. Bis jetzt gibt es jedoch keine soliden Beweise, die Israel mit dem Cyberangriff vom 18. Juni auf Nobitex, Irans größte Kryptowährungsbörse, in Verbindung bringen, obwohl eine pro-israelische Hackergruppe, Predatory Sparrow, auch bekannt als Gonjeshke Darande, die Verantwortung für den Vorfall übernommen hat.
Folgen des Hacks
Darüber hinaus behauptete die pro-israelische Hackergruppe Gonjeshke Darande, nicht nur 90 Millionen Dollar von der Börse abgezogen zu haben, sondern auch den vollständigen Quellcode der iranischen Börse veröffentlicht zu haben, einschließlich Serverlisten, Cold-Wallet-Skripten und Datenschutzeinstellungen. Bemerkenswerterweise hat die Gruppe zuvor iranische Infrastruktur für Informationsbeschaffung ins Visier genommen.
TRM Labs schlägt vor, dass der Vorfall Zugang zu KYC-Daten gewährt haben könnte, was israelischen Cyber-Einheiten helfen könnte, iranische Handler zu identifizieren oder Krypto-Zahlungen an lokale Operative zuzuordnen. Irans Nutzung von Kryptowährungen in geheimen Operationen ist nicht neu. Berichte haben ergeben, dass Iran routinemäßig Krypto verwendet, um Proxys zu finanzieren, Sanktionen zu umgehen und Cyberoperationen zu unterstützen. Ähnliche Muster sind in anderen Ländern aufgetaucht. Im selben Jahr wurden in Südkorea Personen festgenommen, die mit dem nordkoreanischen Geheimdienst in Verbindung standen, weil sie Militärgeheimnisse im Austausch für Krypto weitergegeben hatten.
