Les hackers Predatory Sparrow, liés à Israël, mènent une cyber-guerre contre le système financier iranien
Le groupe de hackers Predatory Sparrow, lié à Israël, a mené certaines des cyberattaques les plus destructrices de l'histoire, perturbant à deux reprises des milliers de systèmes de paiement de stations-service en Iran et incendiant même une usine sidérurgique. Aujourd'hui, en pleine escalade du conflit entre les deux pays, ils semblent déterminés à s'attaquer au système financier iranien.
Mercredi, Predatory Sparrow, qui utilise souvent son nom persan Gonjeshke Darande pour se faire passer pour un groupe hacktiviste local, a annoncé sur son compte X avoir ciblé la plateforme d'échange de cryptomonnaies Nobitex. Ils accusent cette plateforme de faciliter les violations de sanctions et le financement du terrorisme pour le compte du régime iranien. Selon la société d'analyse Elliptic, les hackers ont détruit pour plus de 90 millions de dollars d'actifs cryptographiques, une démarche rare où les fonds sont brûlés plutôt que volés.
« Ces cyberattaques résultent du rôle clé de Nobitex dans le financement du terrorisme et la violation des sanctions », ont déclaré les hackers. « S'associer à ces infrastructures met vos actifs en danger. » Cette attaque fait suite à une autre opération contre la banque Sepah, où le groupe affirme avoir détruit « toutes » les données de la banque en représailles à ses liens avec les Gardiens de la Révolution islamique.
Le site de Sepah Bank était hors ligne hier mais semble fonctionner à nouveau aujourd'hui. La banque n'a pas répondu aux demandes de commentaires. Nobitex est également inaccessible, et la société n'a pas pu être jointe. Les conséquences exactes de ces attaques restent floues, mais selon Hamid Kashfi, expert en cybersécurité, les services bancaires en ligne et les distributeurs de Sepah sont toujours hors service, causant des perturbations majeures pour les civils.
« Les dégâts collatéraux sont importants », explique Kashfi. « Cela semble vouloir causer du chaos. » Dans le cas de Nobitex, l'analyse blockchain révèle que les fonds volés ont été envoyés vers des adresses cryptographiques incluant l'insulte « FuckIRGCterrorists », rendant leur récupération impossible. « Les hackers ont clairement des motivations politiques, pas financières », souligne Tom Robinson d'Elliptic.
Predatory Sparrow est depuis longtemps l'un des groupes de cyber-guerre les plus agressifs, ciblant régulièrement les infrastructures critiques iraniennes. En 2022, ils ont provoqué un incendie dans une usine sidérurgique en manipulant ses systèmes industriels. Pour John Hultquist, analyste chez Google, leur focalisation actuelle sur le secteur financier pourrait refléter soit son importance stratégique, soit simplement sa vulnérabilité. « Ce groupe est sérieux et capable, contrairement à beaucoup d'autres », prévient-il. « Leurs menaces ne sont pas vides. »
Nhóm tin tặc Predatory Sparrow liên quan Israel phát động chiến dịch tấn công mạng vào hệ thống tài chính Iran
Nhóm tin tặc Predatory Sparrow có liên hệ với Israel đã thực hiện những vụ tấn công mạng gây thiệt hại nghiêm trọng nhất lịch sử, hai lần làm tê liệt hệ thống thanh toán tại hàng nghìn trạm xăng ở Iran và thậm chí gây hỏa hoạn tại một nhà máy thép. Giờ đây, trong bối cảnh căng thẳng leo thang giữa hai nước, họ dường như đang nhắm đến hệ thống tài chính của Iran.
Hôm thứ Tư, Predatory Sparrow (thường dùng tên tiếng Ba Tư Gonjeshke Darande để ngụy trang thành nhóm hacktivist nội địa) đã đăng tải trên tài khoản X thông báo tấn công sàn giao dịch tiền mã hóa Nobitex, cáo buộc sàn này hỗ trợ vi phạm lệnh trừng phạt và tài trợ khủng bố cho chính quyền Iran. Theo công ty phân tích tiền mã hóa Elliptic, nhóm tin tặc đã phá hủy hơn 90 triệu USD tài sản trên Nobitex - một động thái hiếm gặp khi không đánh cắp mà hủy hoại số tiền này.
"Những vụ tấn công mạng này là hệ quả từ việc Nobitex trở thành công cụ then chốt tài trợ khủng bố và vi phạm lệnh trừng phạt", nhóm tin tặc tuyên bố. "Việc liên kết với cơ sở hạ tầng tài trợ khủng bố của chế độ sẽ đặt tài sản của bạn vào rủi ro." Sự kiện này diễn ra ngay sau khi Predatory Sparrow tấn công Ngân hàng Sepah của Iran, tuyên bố đã xóa sổ "toàn bộ" dữ liệu ngân hàng để trả đũa mối quan hệ của họ với Lực lượng Vệ binh Cách mạng Hồi giáo.
Trang web của Sepah Bank đã ngừng hoạt động vào hôm qua nhưng dường như đã khôi phục vào hôm nay. Ngân hàng này không phản hồi yêu cầu bình luận từ WIRED. Trong khi đó, website Nobitex vẫn không thể truy cập và công ty này cũng không liên lạc được. Theo Hamid Kashfi - chuyên gia an ninh mạng người Iran, dịch vụ ngân hàng trực tuyến và ATM của Sepah vẫn tê liệt sau vụ tấn công, gây ảnh hưởng nặng nề đến đời sống người dân.
"Thiệt hại đi kèm là rất lớn", Kashfi nhận định. "Hành động này dường như chỉ nhằm gây tổn hại và hỗn loạn. Tôi không hiểu logic nào đằng sau ngoài việc họ phục vụ quân đội, nhưng hàng triệu người dân thường cũng bị ảnh hưởng." Phân tích blockchain từ vụ Nobitex cho thấy số tiền bị đánh cắp được chuyển đến các địa chỉ tiền mã hóa có chứa cụm từ "FuckIRGCterrorists" - những địa chỉ này không thể khôi phục, đồng nghĩa với việc số tiền đã bị hủy hoại hoàn toàn.
"Tin tặc rõ ràng có động cơ chính trị chứ không phải tài chính", Tom Robinson - đồng sáng lập Elliptic nhấn mạnh. "Số tiền mã hóa bị đánh cắp đã bị 'đốt' hiệu quả." Elliptic cũng xác nhận Nobitex có liên hệ với các cá nhân thuộc Lực lượng Vệ binh Cách mạng bị trừng phạt, cùng các nhóm Hamas, Houthi ở Yemen và Jihad Hồi giáo Palestine.
Predatory Sparrow từ lâu đã nổi tiếng là một trong những nhóm tấn công mạng hung hãn nhất, liên tục nhắm vào cơ sở hạ tầng trọng yếu của Iran. Năm 2022, họ gây ra vụ tấn công mạng có tính hủy diệt vật lý cao nhất lịch sử khi điều khiển hệ thống công nghiệp tại nhà máy thép Khouzestan làm tràn thép nóng chảy, gây hỏa hoạn suýt thiêu sống nhân viên. John Hultquist - chuyên gia phân tích mối đe dọa tại Google, nhận định động cơ tấn công hệ thống tài chính của Predatory Sparrow có thể do tính chiến lược hoặc đơn giản là sự dễ tổn thương của mục tiêu.
"Đây là một đối tượng rất nguy hiểm và có năng lực, khác biệt so với nhiều nhóm khác", Hultquist cảnh báo. "Nhiều kẻ sẽ đe dọa, nhưng họ là những người có khả năng biến lời đe dọa thành hiện thực."
