Nhóm tin tặc Predatory Sparrow thực hiện đúng lời đe dọa công bố toàn bộ mã nguồn sàn giao dịch tiền mã hóa lớn nhất Iran.
Nhóm tin tặc thân Israel Gonjeshke Darande, hay còn được biết đến với tên Predatory Sparrow, đã công bố toàn bộ mã nguồn của Nobitex – sàn giao dịch tiền mã hóa lớn nhất Iran – chỉ một ngày sau khi thực hiện cuộc tấn công blockchain quy mô lớn khiến hơn 100 triệu USD tài sản số bị tiêu hủy.
Trong bài đăng trên nền tảng X vào thứ Năm, nhóm tin tặc xác nhận việc công bố dữ liệu nội bộ của Nobitex với thông điệp “TÀI SẢN CÒN LẠI TRONG NOBITEX GIỜ ĐÂY ĐÃ HOÀN TOÀN BỊ PHƠI BÀY”. Dữ liệu bị rò rỉ bao gồm các thành phần quan trọng trong hạ tầng của nền tảng như script blockchain, cấu hình bảo mật nội bộ và danh sách máy chủ.
Theo các nhà phân tích an ninh mạng, việc công bố mã nguồn đã phá hủy hoàn toàn lớp bảo mật phía sau của Nobitex, khiến mọi tài sản còn lại trên sàn trở nên dễ bị tấn công. Predatory Sparrow cũng đã nhận trách nhiệm về các vụ tấn công mạng khác gần đây, bao gồm một vụ nhắm vào ngân hàng quốc doanh Iran – Bank Sepah.
Tài sản bị tiêu hủy thay vì đánh cắp vì mục đích chính trị
Các công ty phân tích blockchain Chainalysis và Elliptic xác nhận rằng khoảng 100 triệu USD tài sản mã hóa – bao gồm Bitcoin, Ethereum, XRP, Dogecoin, Solana, Tron và Toncoin – đã bị ảnh hưởng trong vụ tấn công. Tuy nhiên, khác với các vụ tấn công truyền thống, số tài sản này không bị đánh cắp mà được chuyển đến các ví “burner” – những địa chỉ mật mã mà chính kẻ tấn công cũng không thể truy cập.
Andrew Fierman, Giám đốc Tình báo An ninh Quốc gia của Chainalysis, cho biết động cơ chiếm đoạt hơn 90 triệu USD không nhằm mục tiêu tài chính mà mang tính biểu tượng và có chủ ý phá hủy. Phân tích từ Elliptic cũng củng cố nhận định này khi ghi nhận việc sử dụng các ví có tên mang tính khiêu khích như “1FuckiRGCTerroristsNoBiTEXXXaAovLX” và “DFuckiRGCTerroristsNoBiTEXXXWLW65t”.
Yehor Rudytsia, nhà nghiên cứu an ninh tại công ty blockchain Hacken, nhận định cách đặt tên và hành vi giao dịch của các ví này cho thấy đây là một tuyên bố chính trị chứ không phải hành vi trộm cắp vì động cơ tài chính. Các địa chỉ này có vẻ được tạo ra bằng công cụ brute-force generator và không có khóa riêng có thể phục hồi, khiến tài sản không thể thu hồi.
Theo động cơ được nhóm tin tặc tuyên bố, hành động này nhằm phản đối việc Nobitex bị cáo buộc hỗ trợ chính phủ Iran lách các lệnh trừng phạt quốc tế. Nhóm đã gọi Nobitex là “công cụ ưa thích của chế độ để vi phạm lệnh trừng phạt”.
Nobitex đã phản hồi vào thứ Năm, khẳng định không ghi nhận thêm tổn thất sau sự cố rò rỉ dữ liệu. Sàn cho biết đang lên kế hoạch khôi phục các dịch vụ trong vòng năm ngày, mặc dù tình trạng gián đoạn internet tại Iran hiện tại có thể làm chậm tiến trình phục hồi. Các nghiên cứu trước đây từ Elliptic đã liên kết Nobitex với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) và các hoạt động ransomware bị xử phạt.
Dữ liệu on-chain cũng cho thấy hoạt động giao dịch giữa ví của Nobitex với các tài khoản có liên hệ đến các nhóm như Hamas, Palestinian Islamic Jihad, và phong trào Houthi tại Yemen.
