Nhóm có tên là Gonjeshke Darande (tiếng Anh: Predatory Sparrow) đã nhận trách nhiệm về vụ tấn công, đánh dấu đây là chiến dịch thứ hai của nhóm chỉ trong vòng hai ngày. Trước đó, hôm thứ Ba (17/6), nhóm này cũng tuyên bố đã phá hủy dữ liệu tại Ngân hàng Nhà nước Sepah của Iran, trong bối cảnh căng thẳng và các cuộc tấn công bằng tên lửa giữa Israel và Iran gia tăng.

Ảnh minh họa

Mục tiêu của vụ tấn công ngày hôm qua là Nobitex, một trong những sàn giao dịch tiền mã hóa lớn nhất tại Iran. Theo tuyên bố của tin tặc, Nobitex bị cáo buộc giúp chính phủ Iran né tránh các lệnh trừng phạt và tài trợ cho các hoạt động phi pháp trên toàn cầu.

Trang web của Nobitex đã không thể truy cập được trong ngày hôm qua. Các tin nhắn gửi đến kênh hỗ trợ của công ty trên ứng dụng Telegram không nhận được phản hồi. Gonjeshke Darande cũng không trả lời các yêu cầu bình luận.

Trong một bài đăng trên mạng xã hội X, Nobitex cho biết họ đã chủ động gỡ trang web và ứng dụng khỏi mạng trong khi điều tra “truy cập trái phép” vào hệ thống của mình.

Gonjeshke Darande là một nhóm tin tặc đã có “thành tích” thực hiện nhiều vụ tấn công mạng tinh vi nhằm vào Iran. Năm 2021, nhóm này từng gây ra sự cố khiến các trạm xăng trên toàn Iran ngừng hoạt động, và vào năm 2022, một vụ tấn công khác đã gây cháy lớn tại một nhà máy thép của Iran, gây thiệt hại cho nhà máy này.

Dù Israel chưa bao giờ chính thức thừa nhận đứng sau nhóm này, truyền thông Israel đã nhiều lần đưa tin Gonjeshke Darande có liên hệ với nước này.

Theo công ty phân tích blockchain TRM Labs, vụ tấn công bắt đầu vào rạng sáng ngày hôm qua (18/6), khi số tiền mã hóa từ Nobitex bị chuyển đến các ví do tin tặc kiểm soát – đi kèm với thông điệp lên án Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC). TRM Labs ước tính tổng số tiền bị đánh cắp là khoảng 90 triệu USD, thuộc nhiều loại tiền mã hóa khác nhau.

Cách mà các ví tiền mã hóa do tin tặc kiểm soát được tạo ra cho thấy chính tin tặc cũng không thể truy cập được số tiền bị đánh cắp, điều này đồng nghĩa với việc họ “đã chủ động thiêu hủy số tiền để gửi một thông điệp chính trị tới Nobitex”, theo một bài viết trên blog của công ty phân tích blockchain Elliptic.

Bài viết của Elliptic cũng chia sẻ bằng chứng cho thấy Nobitex đã từng gửi và nhận tiền từ các ví tiền mã hóa do những nhóm thù địch với Israel kiểm soát, bao gồm Thánh chiến Hồi giáo Palestine (Palestinian Islamic Jihad), Hamas, và phiến quân Houthi ở Yemen.

Hai Thượng nghị sĩ Elizabeth Warren và Angus King từng bày tỏ lo ngại về vai trò của Nobitex trong việc giúp Iran né tránh các lệnh trừng phạt, trong một bức thư gửi các quan chức hàng đầu trong chính quyền Tổng thống Biden vào tháng 5 năm 2024. Trong thư, họ đã trích dẫn các thông tin từ một bài điều tra của Reuters năm 2022.

Andrew Fierman, trưởng bộ phận tình báo an ninh quốc gia tại công ty phân tích blockchain Chainalysis, xác nhận qua email với Reuters rằng giá trị cuộc tấn công là khoảng 90 triệu USD và nhiều khả năng động cơ của vụ việc mang tính địa chính trị, vì số tiền đã bị “thiêu hủy”.

Fierman cho biết Chainalysis từng quan sát thấy các nhóm ransomware có liên hệ với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) đã sử dụng Nobitex để rút tiền, cùng với các nhóm ủy nhiệm khác của IRGC cũng khai thác nền tảng này cho các mục đích tương tự.

Nguyễn Yến (theo Reuters)