Stöld av $90 Miljoner från Irans Nobitex-börs
$90 miljoner försvann från Irans Nobitex-börs. Nu föreslår TRM Labs att pro-israeliska hackare kan ha stulit medlen och eventuellt beslagtagit känslig information för att avslöja iranska spioner som betalades i kryptovaluta.
Arresteringar och Spionage
Dagar efter hackningen arresterades tre israeliska medborgare för påstådda spionageaktiviteter, inklusive övervakning, propaganda och insamling av information i utbyte mot kryptovalutabetalningar på uppdrag av den iranska underrättelsetjänsten. Det israeliska spionagefallet belyser användningen av kryptovaluta för statligt stödda operationer.
”Arresteringarna representerar ett sällsynt offentligt fall av statligt sponsrat spionage där operatörer fick ersättning med digitala tillgångar.”
Utredningen påstår att varje misstänkt fick kryptovaluta som betalning efter att ha slutfört specifika uppdrag, med medel som levererades via anonymiserade blockchain-kanaler.
Detaljer om de Åtalade
En av de åtalade, Dmitri Cohen, 28, från Haifa, ska ha spårat och fotograferat medlemmar av premiärminister Benjamin Netanyahus familj. Han anklagas för att ha spionerat på Amit Yardeni, Netanyahus blivande svärdotter, inför hennes bröllop. Utredare säger att Cohen använde en dedikerad enhet för att upprätthålla krypterad kontakt med sin iranska kontakt och fick tusentals dollar i kryptovaluta, cirka $500 per uppdrag.
En andra misstänkt, 27 år gammal från Tel Aviv, greps för att ha fotograferat militära platser, regeringsbyggnader och taggat graffiti. Myndigheterna har beslagtagit flera enheter från hans hem under utredningen. En tredje misstänkt, 19 år gammal från Sharon-regionen, ska ha överlämnat klassificerad information till iranska kontakter.
Underrättelseoperationer och Tidslinje
Även om israeliska tjänstemän inte offentligt har kopplat arresteringarna till något specifikt cyberincident, föreslår TRM Labs att tidslinjen kan peka på en bredare underrättelseoperation. TRM Labs flaggar för möjliga underrättelseöverlappar i spionagefallet som involverar Nobitex-hacket.
”Även om israeliska myndigheter inte har bekräftat någon koppling mellan hackningen och arresteringarna, tyder tidpunkten och den taktiska profilen på potentiella underrättelseöverlappar.”
Företaget påpekade att israeliska luftangrepp inträffade den 13 juni, följt av hackningen av den Iran-baserade kryptovalutabörsen Nobitex den 18 juni, och sedan arresteringarna den 24 juni.
Pro-Israeliska Hackargrupper
Hittills har det dock inte funnits några solida bevis som kopplar Israel till cyberattacken den 18 juni mot Nobitex, Irans största kryptovalutabörs, även om en pro-israelisk hackargrupp, Predatory Sparrow, även känd som Gonjeshke Darande, tog på sig ansvaret för intrånget.
Gruppen påstod att de inte bara raderade $90 miljoner från börsen utan också släppte den iranska börsens fullständiga källkod, inklusive serverlistor, kalla plånboks-skript och sekretessinställningar. Noterbart är att gruppen tidigare har riktat in sig på iransk infrastruktur för underrättelseinsamling.
Kryptovaluta och Iransk Underrättelseverksamhet
TRM Labs föreslår att intrånget kan ha gett tillgång till KYC-poster, vilket potentiellt kan hjälpa israeliska cyberenheter att identifiera iranska kontakter eller kartlägga kryptovalutabetalningar till lokala operatörer. Irans användning av kryptovaluta i hemliga operationer är inget nytt. Rapporter har avslöjat att Iran rutinmässigt använder kryptovaluta för att finansiera ombud, undvika sanktioner och stödja cyberoperationer.
Liknande mönster har observerats i andra länder. Under samma år arresterade Sydkorea individer kopplade till nordkoreansk underrättelsetjänst för att ha överlämnat militära hemligheter i utbyte mot kryptovaluta.
