O grupo de hackers ligado a Israel conhecido como Predatory Sparrow realizou alguns dos ataques cibernéticos mais disruptivos e destrutivos da história, desativando duas vezes milhares de sistemas de pagamento de postos de gasolina em todo o Irã e, uma vez, até incendiando uma usina de aço no país. Agora, em meio a uma nova guerra que se desenrola entre os dois países, eles parecem determinados a queimar o sistema financeiro do Irã.
Predatory Sparrow, que muitas vezes é chamado pelo seu nome em farsi, Gonjeshke Darande, em um esforço para parecer uma organização hacktivista local, anunciou em uma postagem em sua conta no X na quarta-feira que havia atacado a exchange de criptomoedas iraniana Nobitex, acusando a exchange de facilitar a violação de sanções e o financiamento do terrorismo em nome do regime iraniano. De acordo com a empresa de rastreamento de criptomoedas Elliptic, os hackers destruíram mais de 90 milhões de dólares em ativos da Nobitex, uma rara instância de hackers queimando ativos de criptomoedas em vez de roubá-los.
“Esses ataques cibernéticos são o resultado da Nobitex ser uma ferramenta chave do regime para financiar o terrorismo e violar sanções”, postaram os hackers no X. “Associar-se à infraestrutura de financiamento do terrorismo do regime e à violação de sanções coloca seus ativos em risco.”
O incidente segue outro ataque do Predatory Sparrow ao sistema financeiro do Irã na quarta-feira, no qual o mesmo grupo atacou o banco Sepah do Irã, afirmando ter destruído “todos” os dados do banco em retaliação por suas associações com o Corpo da Guarda Revolucionária Islâmica do Irã, e postando documentos que pareciam mostrar acordos entre o banco e o exército iraniano. “Cuidado: Associar-se aos instrumentos do regime para evadir sanções e financiar seus mísseis balísticos e programa nuclear é ruim para sua saúde financeira a longo prazo”, escreveram os hackers. “Quem é o próximo?”
O site do Banco Sepah estava fora do ar ontem, mas parecia estar funcionando novamente hoje. O banco não respondeu ao pedido de comentário da WIRED. O site da Nobitex estava fora do ar hoje e a empresa não pôde ser contatada para comentar.
Como é frequentemente o caso na névoa de uma guerra em andamento e seus ataques cibernéticos acompanhantes, os efeitos que os ataques cibernéticos do Predatory Sparrow tiveram permanecem incertos. No entanto, no ataque à Nobitex, a análise da blockchain revela alguns dos detalhes do sabotagem do Predatory Sparrow: De acordo com a Elliptic, a quantia de oito dígitos roubada da exchange foi movida para uma série de endereços de criptomoedas que todos começaram com variações da frase “FuckIRGCterrorists.” Esses chamados endereços “vanity” normalmente não podem ser criados de forma que ofereça controle ou recuperação dos fundos mantidos lá, então a Elliptic conclui que mover fundos para esses endereços foi, em vez disso, um método pontual de destruir o dinheiro. “Os hackers claramente têm motivações políticas em vez de financeiras”, diz Tom Robinson, cofundador da Elliptic. “A criptomoeda que eles roubaram foi efetivamente queimada.”
A Elliptic também confirmou em sua postagem no blog sobre o ataque que o rastreamento de criptomoedas mostra que a Nobitex realmente tem vínculos com operativos do IRGC sancionados, Hamas, os rebeldes Houthi do Iémen e o grupo Jihad Islâmica Palestina. “É também um ato de sabotagem, atacando uma instituição financeira que foi fundamental no uso do Irã de criptomoedas para evadir sanções”, diz Robinson.
Predatory Sparrow tem sido um dos grupos de guerra cibernética mais agressivos do mundo. Os hackers, que são amplamente acreditados como tendo vínculos com as agências militares ou de inteligência de Israel, há anos têm como alvo o Irã com uma série de ataques cuidadosamente planejados à infraestrutura crítica do país. O grupo atacou as ferrovias do Irã com ataques destrutivos de dados e desativou duas vezes os sistemas de pagamento em milhares de postos de gasolina iranianos, desencadeando escassez de combustível em todo o país. Em 2022, realizou talvez o ataque cibernético mais fisicamente destrutivo da história, sequestrando sistemas de controle industrial na usina de Khouzestan para causar um enorme recipiente de aço derretido a vazar no chão, incendiando a planta e quase queimando os funcionários lá vivos, como mostrado no próprio vídeo do grupo do ataque postado em sua conta do YouTube.
Exatamente por que o Predatory Sparrow agora voltou sua atenção para o setor financeiro do Irã—se porque vê essas instituições financeiras como as mais consequentes ou meramente porque seus bancos e exchanges de criptomoedas eram vulneráveis o suficiente para oferecer um alvo de oportunidade—permanece incerto por enquanto, diz John Hultquist, analista chefe do grupo de inteligência de ameaças do Google e um rastreador de longa data dos ataques do Predatory Sparrow. Quase qualquer conflito, observa ele, agora inclui ataques cibernéticos de hacktivistas ou hackers patrocinados pelo estado. Mas a entrada do Predatory Sparrow em particular nesta guerra sugere que pode haver mais por vir, com consequências sérias.
“Esse ator é muito sério e muito capaz, e é isso que o separa de muitas das operações que provavelmente veremos nas próximas semanas ou meses”, diz Hultquist. “Muitos atores vão fazer ameaças. Este é um que pode cumprir essas ameaças.”