Исчезновение $90 миллионов с иранской биржи Nobitex
С иранской биржи Nobitex исчезло $90 миллионов. Теперь TRM Labs предполагает, что произраильские хакеры вывели средства и, возможно, захватили конфиденциальные данные, чтобы выявить иранских шпионов, получающих оплату в криптовалюте.
Аресты граждан Израиля
За несколько дней после взлома трое граждан Израиля были арестованы за предполагаемую шпионскую деятельность, включая слежку, пропаганду и сбор разведывательной информации в обмен на криптовалютные выплаты от иранской разведки. Дело о шпионаже в Израиле подчеркивает использование криптовалюты для операций, поддерживаемых государством.
«Аресты представляют собой редкий публичный случай шпионажа, спонсируемого государством, в котором операторы получали вознаграждение в цифровых активах» — TRM Labs.
Подозреваемые и их действия
В ходе расследования утверждается, что каждый подозреваемый получал криптовалютные выплаты после выполнения конкретных заданий, а средства передавались через анонимизированные блокчейн-каналы. Один из обвиняемых, 28-летний Дмитрий Коэн из Хайфы, якобы отслеживал и фотографировал членов семьи премьер-министра Биньямина Нетаньяху. Его обвиняют в шпионаже за Амит Ярдени, будущей невесткой Нетаньяху, перед ее свадьбой.
Следователи утверждают, что Коэн использовал специальное устройство для поддержания зашифрованного контакта со своим иранским куратором и получил тысячи долларов в криптовалюте, около $500 за задание. Второй подозреваемый, 27-летний житель Тель-Авива, был задержан за предполагаемую фотографию военных объектов, правительственных зданий и граффити. В ходе расследования у него дома были изъяты несколько устройств.
Третий подозреваемый, 19-летний житель региона Шарон, якобы передавал секретную информацию иранским контактам. Его завербовали в интернете, и он поддерживал длительное общение с иранскими операторами во время недавних напряжений между двумя странами.
Связь между взломом и арестами
Хотя израильские официальные лица публично не связывали аресты с каким-либо конкретным киберинцидентом, TRM Labs предполагает, что временные рамки могут указывать на более широкую разведывательную операцию. TRM Labs отмечает возможное совпадение разведывательной информации в деле о шпионаже, связанном с взломом Nobitex.
«Хотя израильские власти не подтвердили никакой связи между взломом и арестами, временные рамки и тактический профиль предполагают потенциальные совпадения в разведывательной информации» — TRM Labs.
Компания также указала, что израильские авиаудары произошли 13 июня, за которыми последовал взлом иранской криптобиржи Nobitex 18 июня, а затем аресты 24 июня. Однако до сих пор не было убедительных доказательств, связывающих Израиль с кибератакой 18 июня на Nobitex, крупнейшую криптобиржу Ирана, хотя произраильская хакерская группа Predatory Sparrow, также известная как «Гонжешке Даранд», взяла на себя ответственность за нарушение.
Последствия взлома
Кроме того, эта группа заявила, что не только стерла $90 миллионов с биржи, но и выпустила полный исходный код иранской биржи, включая списки серверов, скрипты холодных кошельков и настройки конфиденциальности. Примечательно, что группа ранее нацеливалась на иранскую инфраструктуру для сбора разведывательной информации.
TRM Labs предполагает, что взлом мог предоставить доступ к записям KYC, что потенциально помогло бы израильским киберподразделениям в идентификации иранских кураторов или сопоставлении криптовалютных платежей с местными операторами.
Использование криптовалюты Ираном
Использование Ираном криптовалюты в скрытых операциях не ново. Сообщения показывают, что Иран регулярно использует криптовалюту для финансирования прокси, уклонения от санкций и поддержки киберопераций. Подобные схемы возникли и в других странах. В том же году Южная Корея арестовала лиц, связанных с северокорейской разведкой, за передачу военных секретов в обмен на криптовалюту.
