چگونه هکرهای همسو با اسرائیل سیستم مالی ایران را فلج کردند

در حالی که اسرائیل و ایالات متحده در حال بمباران سایت‌های هسته‌ای ایران بودند، میدان نبرد دیگری در پشت صحنه پدیدار شد: زیرساخت‌های مالی که تهران را به جهان متصل نگه می‌دارد.

مقامات اسرائیلی و گروه هکری طرفدار اسرائیل به نام «گنجشک درنده» (Predatory Sparrow)، سازمان‌های مالی را که ایرانیان برای جابه‌جایی پول و دور زدن تحریم‌های اقتصادی تحت رهبری ایالات متحده استفاده می‌کنند، هدف قرار دادند. این اطلاعات بر اساس گفته‌های مقامات اسرائیلی و افراد دیگری که با این تلاش‌ها آشنا هستند، به دست آمده است. تحریم‌های ایالات متحده که دهه‌ها به دلیل برنامه هسته‌ای تهران و حمایت از گروه‌های اسلام‌گرا به طور متناوب اعمال شده‌اند، با هدف قطع ارتباط ایران از سیستم مالی بین‌المللی بوده است.

گروه «گنجشک درنده» که به صورت ناشناس فعالیت می‌کند و به‌روزرسانی‌های فعالیت‌های خود را در پلتفرم ایکس (X) منتشر می‌کند، هفته گذشته اعلام کرد که بانک دولتی سپه ایران را که به نیروهای مسلح ایران خدمات می‌دهد و به آنها در پرداخت به تأمین‌کنندگان خارجی کمک می‌کند، از کار انداخته و خدمات بانکداری آنلاین و دستگاه‌های خودپرداز آن را مختل کرده است. رسانه‌های دولتی ایران نیز این خسارات را تأیید کردند.

این گروه همچنین به «نوبیتکس» (Nobitex)، بزرگترین صرافی رمزارز ایران که در میان مردم محلی برای انتقال پول به خارج از کشور محبوب است، نفوذ کرد. به گفته این صرافی، هکرها حدود ۱۰۰ میلیون دلار از وجوه را خارج کرده و پلتفرم را مجبور به تعطیلی کردند.

دولت ایران برای جلوگیری از حملات بیشتر و مهار نارضایتی‌ها، بخش زیادی از فعالیت‌های آنلاین کشور را قطع کرد. وب‌سایت‌های غیرایرانی مسدود شدند. به شهروندان در مورد استفاده از تلفن‌های خارجی یا پلتفرم‌های پیام‌رسان که ادعا می‌شد می‌توانند داده‌های صوتی و موقعیت مکانی را برای جاسوسان اسرائیلی جمع‌آوری کنند، هشدار داده شد. مقامات دولتی از استفاده از لپ‌تاپ و ساعت‌های هوشمند منع شدند.

گروه «گنجشک درنده» اعلام کرد که این دو هک علیه «شریان‌های مالی» سپاه پاسداران انقلاب اسلامی، قدرتمندترین جناح ارتش ایران که بخش‌های وسیعی از اقتصاد را نیز کنترل می‌کند، صورت گرفته است. این گروه در توئیتی نوشت: «مردم شریف ایران! قبل از اینکه دیر شود، وجوه خود را خارج کنید.»

هر دو شرکت هدف قرار گرفته شده همچنان فلج هستند. نوبیتکس اعلام کرد که با چالش‌های جدی در بازیابی خدمات مواجه است و قصد دارد معاملات را در هفته آینده از سر بگیرد. برخی از کاربران بانک سپه آنلاین اعلام کرده‌اند که هنوز واریزی‌های خود را دریافت نکرده‌اند.

بانک سپه در تهران، ایران. — در بانک دولتی سپه ایران، بسیاری از دستگاه‌های خودپرداز هنگام وقوع حملات سایبری از کار افتادند. عکس: عطا کناره/خبرگزاری فرانسه/گتی ایمیجز

عطا کناره/خبرگزاری فرانسه/گتی ایمیجز

این گروه نگفت که آیا به نمایندگی از مقامات اسرائیلی عمل می‌کند یا خیر. ددی لاوید، مدیرعامل شرکت امنیت سایبری سی‌ورس (Cyvers) مستقر در تل‌آویو، گفت: «پیچیدگی این گروه، انتخاب اهداف و پیام‌های ژئوپلیتیکی آن با مشخصات یک عامل سایبری تحت حمایت دولتی و همسو با اسرائیل مطابقت دارد.»

گروه «گنجشک درنده» به درخواست‌های ارسالی برای اظهار نظر به مدیر گروه تلگرامی خود پاسخ نداد.

این حملات سایبری بر اقتصادی ضربه زد که پیش از این نیز تحت تأثیر تحریم‌های ایالات متحده که خرید نفت ایران یا تعامل با بانک‌های آن را ممنوع می‌کند، آسیب دیده بود. اقتصاد ایران به شدت به چند شریک تجاری منتخب، به ویژه چین، وابسته است. تورم سالانه طبق گزارش بانک جهانی بالای ۴۰ درصد است. فرار مداوم نیروی کار ماهر نیز رشد اقتصادی ایران را کند کرده است.

اسرائیل روز سه‌شنبه آتش‌بس با ایران را تأیید کرد. اما کارشناسان امنیت سایبری و مقامات اسرائیلی انتظار دارند جنگ سایبری ادامه یابد. لاوید گفت: «اسرائیل به احتمال زیاد به حملات سایبری دقیق علیه مراکز قدرت رژیم ادامه خواهد داد.»

مقامات اداره ملی مبارزه با تأمین مالی تروریسم اسرائیل (NBCTF) اعلام کردند که اطلاعاتی در مورد ارتباط بین گروه «گنجشک درنده» و مقامات اسرائیلی ندارند. آنها گفتند که اسرائیل به طور گسترده زیرساخت‌های اقتصادی را که به ایران اجازه می‌داد تا نظامیان و نیروهای نیابتی خود را تأمین مالی کند، هدف قرار داده و در اوایل این ماه تحریم‌هایی را علیه بانک مرکزی و سایر بانک‌های مورد استفاده سپاه پاسداران اعمال کرده است.

NBCTF، که تحت نظارت وزارت دفاع است، قصد دارد دستوراتی را به صرافی‌های خارج از ایران صادر کند تا به آنها در مصادره بیشتر دارایی‌های رمزارز نوبیتکس کمک کند. مقامات گفتند که ۱۵۰ میلیون دلار دیگر از وجوه در اختیار نوبیتکس را شناسایی کرده‌اند.

گروه‌های سایبری طرفدار ایران نیز با حملات محروم‌سازی از سرویس (DoS) به وب‌سایت‌های دولتی اسرائیل، که در آن هکرها قصد دارند با سیلی از درخواست‌ها کامپیوترهایی را که ترافیک اینترنت را هدایت می‌کنند، تحت فشار قرار دهند، و همچنین ارسال پیام‌های فیشینگ به اسرائیلی‌ها با هدف به خطر انداختن تلفن‌های آنها، مقابله کرده‌اند. اداره ملی سایبری اسرائیل اعلام کرد که حملات سایبری ایران در هفته‌های اخیر خسارتی وارد نکرده است.

با افزایش حملات، چه فیزیکی و چه سایبری، نوعی پارانویا در میان مردم ایران فراگیر شد. محمد قربانیان، صراف ساکن تهران که چندین سال پیش توسط ایالات متحده به ظن کمک به هکرهای ایرانی تحریم شده بود، اتهامی که وی آن را انکار می‌کند، گفت: «بهتر است اینترنت قطع شود. اسرائیل می‌تواند همه چیز را ببیند.»

مردم در حال قدم زدن در بازاری پر جنب و جوش در تهران. — همچنان که ایرانیان اثرات تحریم‌های بانکی بین‌المللی را حس می‌کنند، برخی به رمزارزها به عنوان یک راه‌حل جایگزین روی آورده‌اند. عکس: گتی ایمیجز

گتی ایمیجز

به گفته خبرگزاری فارس، که تحت کنترل سپاه پاسداران است، حمله سایبری به بانک سپه در روز سه‌شنبه گذشته، پرداخت‌ها، از جمله حقوق بازنشستگان نظامی را متوقف کرد. بسیاری از دستگاه‌های خودپرداز آن از کار افتادند. وزارت خزانه‌داری ایالات متحده سال گذشته اعلام کرد که بانک سپه، که شعبه‌هایی در پایگاه‌های نظامی ایران دارد، از طریق یک شبکه گسترده بانکداری سایه، به وزارت دفاع ایران در پرداخت به تأمین‌کنندگان خارجی کمک می‌کند.

نوبیتکس روز بعد آفلاین شد. به گفته شرکت‌های تحقیقات بلاک‌چین و مقامات NBCTF اسرائیل، این صرافی رمزارز مستقر در تهران از زمان راه‌اندازی خود در سال ۲۰۱۷، تراکنش‌هایی به ارزش بیش از ۲۲ میلیارد دلار برای کاربران پردازش کرده است.

امیر راد، مدیرعامل نوبیتکس، در ویدیویی که در کانال تلگرامی این صرافی منتشر شد، گفت: «این حمله انگیزه‌های سیاسی برای ایجاد ناراحتی عاطفی و آسیب رساندن به دارایی مردم ایران داشت.»

همانند روسیه و سایر کشورهایی که از امور مالی بین‌المللی جدا شده‌اند، رمزارزها، به ویژه استیبل‌کوین‌های متصل به دلار مانند تتر، به عنوان یک راه‌حل حیاتی در ایران ظهور کرده‌اند و بستری را فراهم می‌کنند که کاربران از طریق آن می‌توانند پول را بین بانک‌های محلی و خارجی جابه‌جا کنند.

۱۱ میلیون مشتری نوبیتکس از این پلتفرم برای تبدیل ریال ایران به تتر استفاده می‌کنند که می‌توانند آن را به سایر ارزهای سنتی در خارج از کشور تبدیل کنند. راد در حساب لینکدین خود گفته است که هدف نوبیتکس این است که به ایرانی‌ها امکان معامله رمزارز را با وجود «سایه تحریم‌ها» بدهد.

آمیت لوین، دادستان سابق اسرائیلی و بازرس پیشین در صرافی رمزارز بایننس که اکنون به شرکت‌ها در زمینه رعایت مقررات جرایم مالی مشاوره می‌دهد، گفت: «نوبیتکس گزینه اصلی ایرانیان برای دور زدن تحریم‌ها بوده است.»

به گفته مقامات اسرائیلی و محققان بلاک‌چین، سپاه پاسداران انقلاب اسلامی نیز برای پرداخت‌های بین‌المللی به نوبیتکس روی آورده بود. شرکت تحلیل رمزارز الیپتیک (Elliptic) دریافته است که دو عامل سپاه پاسداران، که ایالات متحده آنها را به انجام حملات باج‌افزاری علیه شرکت‌های آمریکایی متهم کرده بود، از نوبیتکس برای انجام حواله‌ها استفاده کرده‌اند.

راد گفت که او اعتقاد ندارد سپاه پاسداران از طریق نوبیتکس پول جابه‌جا می‌کرده است، زیرا او یک پلتفرم شفاف را اداره می‌کند که به شدت نظارت می‌شود.

گروه «گنجشک درنده» از سال ۲۰۲۱ حداقل در ایران ویرانی به بار آورده است. در حملات قبلی، این گروه سیستم‌های پرداخت پمپ بنزین در سراسر کشور را از کار انداخت و باعث آتش‌سوزی در یک کارخانه فولاد ایران شد.

راد گفت که هکرها برای عملیات خود علیه نوبیتکس، توانستند کلیدهای کیف پول‌های رمزارز صرافی را که در اختیار کارکنان کلیدی شرکت بود، به دست آورند.

سپس گروه «گنجشک درنده» ۱۰۰ میلیون دلار دزدیده شده را با ارسال توکن‌ها به کیف پول‌های دیجیتال دیگری که خود گروه نمی‌توانست به آنها دسترسی پیدا کند، «سوزاند». آدرس‌های این کیف پول‌ها، که از رشته‌های بلند اعداد و حروف تشکیل شده‌اند، حاوی عبارات توهین‌آمیز مانند “F—IRGCterrorists” بودند.

راد گفت که تحقیقات اولیه نوبیتکس در مورد این نفوذ نشان می‌دهد که دولت اسرائیل احتمالاً از آن حمایت کرده است، اگرچه او از ارائه مدرکی برای ادعای خود خودداری کرد. او گفت که نوبیتکس یک شرکت خصوصی و مستقل است و هیچ وابستگی به دولت ایران، از جمله سپاه پاسداران، ندارد.

https://www.wsj.com/world/middle-east/how-israel-aligned-hackers-hobbled-irans-financial-system-fb1b0376?mod=hp_lead_pos4