- Hackgroep Gonjeshke Darande lekte gevoelige gebruikersgegevens.
- De Israëlische autoriteiten hebben drie burgers gearresteerd voor spionage voor Iran.
- Eerdere transacties van Nobitex vertonen tekenen van witwasactiviteiten.
De gevolgen van de Nobitex-hack gaan verder dan ontbrekende fondsen.
De inbreuk van 90 miljoen dollar op de grootste cryptocurrency exchange van Iran, die plaatsvond op 18 juni, is nu in verband gebracht met een mogelijke spionagezaak waarbij Israëlische en Iraanse agenten betrokken zijn.
Volgens blockchain-inlichtingenbedrijf TRM Labs werden op 24 juni drie Israëlische burgers gearresteerd omdat ze zouden hebben gespioneerd voor Iran, en de hack heeft mogelijk een sleutelrol gespeeld bij hun ontmaskering.
De verdachten, tussen 19 en 28 jaar oud, zouden zijn gerekruteerd door Iraanse handlers en werden naar verluidt betaald in cryptocurrency.
Hun taken omvatten het fotograferen van militaire locaties, het taggen van pro-Iraanse graffiti, het volgen van de bewegingen van hoge functionarissen en het verzamelen van bewakingsgegevens.
De Israëlische autoriteiten beweren dat sommige van de cryptotransacties die aan de verdachten zijn gekoppeld, on-chain traceerbaar waren en mogelijk zijn geïdentificeerd met behulp van gegevens die zijn gelekt van Nobitex.
Gonjeshke Darande eist verantwoordelijkheid voor inbreuk
De aanval op Nobitex werd uitgevoerd door de pro-Israëlische hackgroep Gonjeshke Darande, ook bekend als Predatory Sparrow.
De groep, die bekend staat om het aanvallen van aan Iran gelieerde infrastructuur, heeft zich eerder beziggehouden met cyberoperaties waarvan wordt aangenomen dat ze inlichtingendoeleinden dienen.
Na de inbreuk van 18 juni werden de interne systemen van Nobitex gecompromitteerd en werd meer dan $ 90 miljoen aan digitale activa leeggemaakt.
De aanvallers lekten vervolgens gevoelige gegevens, waaronder mogelijke portemonneegegevens, Know Your Customer (KYC)-records en interne communicatie.
Dit lek werd slechts één dag na de hack gepubliceerd, wat wijst op een hoog niveau van toegang en coördinatie.
Hoewel er geen bevestigd direct verband is tussen de Nobitex-inbreuk en de arrestaties, gaf TRM Labs aan dat gelekte gegevens van de beurs de Israëlische autoriteiten mogelijk hebben geholpen bij het identificeren van cryptobetalingen en bijbehorende gebruikersgegevens die verband houden met de spionagezaak.
Cryptobetalingen, on-chain tracking en bewijs
Volgens TRM Labs ontvingen de gearresteerde personen duizenden dollars aan cryptocurrency in ruil voor het uitvoeren van inlichtingentaken.
Deze betalingen werden gekanaliseerd via geanonimiseerde systemen, maar uiteindelijk getraceerd met behulp van blockchain-analyse.
De crypto-overdrachten vormden een cruciaal onderdeel van het bewijsmateriaal dat in het onderzoek werd gebruikt.
Tegelijkertijd ontdekten onderzoekers verdachte historische geldstromen van Nobitex.
Deze omvatten gestructureerde transacties die zijn ontworpen om detectie en koppelingen met portefeuilles te omzeilen die eerder waren gemarkeerd voor illegale activiteiten.
De omvang van de blootstelling van de beurs heeft vragen doen rijzen over de interne controles en nalevingspraktijken van Nobitex.
De TRM-analyse geeft aan dat dezelfde infrastructuur die door agenten wordt gebruikt om betalingen te ontvangen, mogelijk tijdens de hack is blootgesteld.
Dit suggereert dat de gevolgen van de inbreuk verder gaan dan financieel verlies en zich uitstrekken tot in het nationale veiligheidsgebied.
Nobitex wordt onder de loep genomen vanwege eerdere transfers
Naarmate het onderzoek naar de inbreuk zich verdiept, hebben analisten opgemerkt dat sommige van de eerdere transacties van Nobitex mogelijke banden met witwaspraktijken aan het licht brengen.
Fondsen werden naar verluidt via meerdere portefeuilles en beurzen geleid om hun oorsprong te verdoezelen, waarbij bepaalde patronen overeenkwamen met bekende tactieken die door bedreigingsactoren werden gebruikt.
Hoewel de beurs geen gedetailleerde uitsplitsing van de verliezen of de gelekte gegevens heeft uitgegeven, suggereert de snelle opkomst van bewijs ter ondersteuning van de Israëlische arrestaties dat Gonjeshke Darande zich mogelijk op meer dan alleen gebruikerssaldi heeft gericht.
De operatie had kunnen zijn ontworpen om verborgen relaties bloot te leggen tussen aan de Iraanse staat gelieerde cryptokanalen en personen die in het buitenland actief zijn.
De dubbele impact van de aanval – financiële schade en blootstelling aan inlichtingen – vestigt hernieuwde aandacht op de kwetsbaarheid van cryptocurrency exchanges in geopolitiek gevoelige regio’s.
Nobitex bevindt zich nu in het middelpunt van een groeiend web van verdenking op het gebied van cybercriminaliteit, spionage en het ontwijken van sancties.
The post Binnen de Nobitex hack van $ 90 miljoen: een laag-voor-laag uitsplitsing appeared first on CoinJournal.