הדרור הטורף גנב עשרות מיליונים בקריפטו מבורסה איראנית

מי רוקן לאיראנים את הארנק? 95% מהנכסים בבורסת הקריפטו האיראנית נוביטקס התפוגגו להם, לאחר פריצה של קבוצת הדרור הטורף (Predatory Sparrow) הפרו-ישראלית. האירוע מדווח יממה לאחר שהדרור הטורף תקף בסייבר את הבנק הגדול באיראן.

קבוצת ההאקרים פרצה לבורסה לסחר קריפטו הגדולה ברפובליקה האסלאמית וגנבה ממנה עשרות מיליוני דולרים. הפלטפורמה נחשבת לנתיב תשלומים עוקף סנקציות, לאחר שהבנקים במדינה נותקו ממערכת ה-SWIFT העולמית.

חברי הקבוצה פרסמו התראה ללקוחות של נוביטקס והבטיחו לשחרר בתוך יממה את מסמכי החברה. בורסת נוביטקס נאלצה להשבית את השירות שלה והבטיחה לפצות את המשתמשים.

"לדפוק את משמרות המהפכה הטרוריסטים"

חוקר הבלוקצ'יין ZachXBT זיהה העברות חריגות של עשרות מיליוני דולרים מארנקים ששייכים לבורסת הקריפטו. לאחר זמן מה עלה כי הבורסה נפרצה, ולפחות 48.6 מיליון דולר דיגיטליים נמשכו ממנה. האתר והאפליקציה הושבתו. הכסף הדיגיטלי עבר לכתובת TKFuckiRGCTerroristsNoBiTEXy2r7mNX (לדפוק את משמרות המהפכה הטרוריסטים) – עדות שמטרת ההאקרים לא הייתה כספית, או לא רק כזו – אלא גם אידיאולוגית ותודעתית.

חברי הדרור הטורף פרסמו מיד לאחר הפריצה כי "בעוד 24 שעות נחשוף את קוד המקור ואת כל המידע הפנימי. כל נכס שיישאר שם יהיה בסיכון". הקבוצה פרסמה בנוסף אזהרה בטלגרם וב-X, שלפיה "נוביטקס היא כלי מפתח לעקיפת סנקציות. לכל מי שמחזיק כסף שם – תוציאו אותו, לפני שיהיה מאוחר מדי".

הבורסה אישרה כי "נמצאה גישה בלתי מורשית לחלק מהארנקים ולחלק מהתשתיות", והוסיפה כי הארנקים ה-"קרים", שבהם מוחזקים רוב הנכסים הדיגיטליים של המשתמשים, נותרו בטוחים.

נוביטקס משרתת מיליוני משתמשים, ובעקבות הפריצה, אחזקותיה הדיגיטליות ירדו מ-1.8 מיליארד דולר ל-100 מיליון בלבד בתוך זמן קצר. לפי חלק מהדיווחים, היקף הנכסים הדיגיטליים שנגנבו ממנה עומד על 73 מיליון דולר. בדיווחים אחרים צוין שהמתקפה החלה ביולי 2022 ואתמול (ג') נגנב חלק ניכר מהסכום.

תומר פרי, מנכ"ל אינוקום מקבוצת אמן. צילום: ניב קנטור

תומר פרי, מנכ"ל אינוקום מקבוצת אמן, שמספקת פתרונות אבטחת סייבר לבנקים ולגופים פיננסיים גדולים בישראל, ציין כי "חשוב מאוד לדעת להגן על הדאטה ולדעת להתאושש במהירות אם בעקבות המתקפה הדאטה הושחת, הוצפן או נמחק. אנחנו עדים למגמה ברורה, שבה מערכות פיננסיות, ובמיוחד נכסים דיגיטליים, הופכים למטרה מועדפת לתקיפה – בשל הערך הכלכלי, האנונימיות היחסית והפוטנציאל ליצירת שיבוש נרחב. המענה לכלל האיומים חייב להיות רב שכבתי: החל ממניעת חדירה, דרך ניטור אנומליות בזמן אמת ועד ליכולת התאוששות מהירה".

מיהם אותם דרורים טורפים?

זהות חברי הדרור הטרוף אינה ברורה, מעבר להיותה פרו-ישראלית. עם זאת, יש הסבורים שהתוקפים אינם האקרים ישראלים או תומכי ישראל.

לדרור הטורף מיוחסות פגיעות בתחנות דלק באיראן, בדצמבר 2023. הקבוצה ביצעה מתקפה דומה גם באוקטובר 2021 – מתקפה שפגעה ב-4,300 תחנות דלק במדינה.

מנהיג איראן, עלי חמינאי. צילום: האתר הרשמי, מתוך ויקיפדיה

שלושה חודשים קודם לכן, ביולי 2021, פגעה מתקפה בתחנות רכבת במדינה. התוקפים גרמו לעיכוב ולביטול נסיעות, ואף הביאו לפרסום מספר הטלפון בלשכתו של המנהיג העליון של איראן, עלי חמינאי, כמספר הטלפון של מודיעין הרכבת, עם כיתוב שקורא לנוסעים להתקשר אליו.

מתקפה נוספת הביאה להצתת אש במפעל פלדה במדינה. חוקר בתחום אמר בעבר לאנשים ומחשבים כי "בהחלט ייתכן שלמרות ההכרזות (שמקור המתקפות בישראל – י"ה), מדובר בקבוצות האקטיביסטים, או האקרים שפועלים בשירות מתנגדי משטר". בעבר, חלק מהמתקפות, גם כשהן היו הרבה פחות דרמטיות, יוחסו למוג'אהדין ח'לק – ארגון טרור שמתנגד למשטר האיראני מזה עשרות שנים.