Кібервійна «Горобця»: Ізраїльські хакери атакують фінанси Ірану

Головна — News — Кібервійна «Горобця»: Ізраїльські хакери атакують фінанси Ірану

Огляд останніх атак

Хакерський колектив, пов’язаний з Ізраїлем, відомий під назвою Predatory Sparrow (Гонжешке Даренде перською), значно активізував свою тривалу кіберкампанію проти Ірану, націлившись на критично важливі фінансові установи. У червні 2025 року група взяла на себе відповідальність за дві масштабні операції: саботаж криптообмінника Nobitex, внаслідок якого було знищено понад 90 мільйонів доларів в депозитах користувачів, та повне видалення даних у банку Sepah, важливій фінансовій структурі Корпусу вартових ісламської революції (КВІР). Ці атаки стали знаковим переходом від порушення інфраструктури до прямої фінансової війни.

Шахраї отруюють офіційні сторінки підтримки через Google Рекламу

2025-06-18

Саботаж криптоактивів: Операція Nobitex

18 червня Predatory Sparrow оголосив на своєму акаунті в X, що він захопив контроль над гарячими гаманцями Nobitex і перевів кошти на ряд “ванітних” адрес — криптоадрес, чий унікальний префікс (“FuckIRGCterrorists”) ускладнює відновлення приватних ключів. Компанія з аналізу блокчейн-технологій Elliptic підтвердила втрату з восьмизначним числом і вказала, що це було політично мотивоване знищення активів, а не крадіжка.

“Ці кібернапади є наслідком того, що Nobitex є ключовим інструментом режиму для фінансування тероризму та порушення санкцій — асоціювання з такою інфраструктурою ставить ваші активи під загрозу.” — Заява Predatory Sparrow в X

Технічні розслідування показали, що група використала незахищену точку доступу REST API в бекенді Nobitex, що працює на кластері Linux, захищеному контейнерами Docker, і застосувала ланцюг експлойтів віддаленого виконання коду (включаючи CVE-2024-6278) для ескалації привілеїв. Опинившись всередині, зловмисники використали власні скрипти на мові Golang для очищення пулів UTXO, перенаправлення коштів Ether і Bitcoin, а також для трансакцій, які фактично знищили криптоактиви.

Видалення даних у банку Sepah

В паралельній операції Predatory Sparrow націлився на банк Sepah, пов’язаний з КВІР. За словами іранського дослідника кібербезпеки Хаміда Кашфі з DarkCell, зловмисники використали спеціально розроблене wiper шкідливе програмне забезпечення під назвою “SteelSparrow”, яке поєднувало ланцюг знищення файлової системи Windows Server та шифрувальні процедури для перезапису критичних обсягів на SAN-масивах банку.

В результаті: онлайн-банкінг Sepah, інтерфейс SWIFT і мережа банкоматів вийшли з ладу, залишивши мільйони цивільних осіб без доступу до коштів. Внутрішні журнали, які були витікнуті групою, детально описують контрактні угоди між банком Sepah і військовими закупівельними відомствами Ірану, що підкреслює заявлену мотивацію Predatory Sparrow.

Трамп відкладає угоду з TikTok через торгові напруження з Китаєм

2025-06-18

Технічна структура атак

Ланцюг експлойтів: Початкові фішингові кампанії проти співробітників Nobitex, використання експлойта ядра Linux, втеча з контейнера через зловживання Docker API.

Криптофорензіка: Генерація ванітних адрес вимагає трильйонів обчислень ECC — навмисний метод знищення, який не залишає шляхів для відновлення.

Шкідливе ПЗ для видалення: “SteelSparrow” використовує гібридний Go/C# код для націлювання на метадані NTFS та заголовки фізичних дисків, ухиляючись від звичайних інструментів резервного копіювання та відновлення.

Витоки інфраструктури: Витоки даних містять внутрішні сертифікати VPN, конфігурації крайових брандмауерів та меморандуми зв’язку з КВІР, що підкреслює погану сегментацію мережі.

Наслідки для регіональної та глобальної кіберстабільності

Джон Халтквіст, головний аналітик Групи загроз Google, попереджає, що перехід Predatory Sparrow до фінансових цілей може викликати відповідні атаки або прискорену гонку озброєнь у сфері державних кіберздатностей. “Вони не просто створюють шум — вони встановлюють прецедент для руйнівної фінансової війни,” — зазначає Халтквіст. “Інші державні гравці звернуть на це увагу.”

Тим часом експерти ООН та західні уряди розпочали обговорення щодо оновлення норм кібербезпеки та міжнародного права для стримування фінансово мотивованого саботажу. Останній пакет санкцій ЄС тепер прямо згадує кібергрупи на кшталт Predatory Sparrow і націлюється на їхні канали відмивання криптовалюти.

X подає позов, щоб заблокувати закон про модерацію контенту в Нью-Йорку після перемоги в Каліфорнії

2025-06-17

Стратегії захисту та пом’якшення наслідків

Впровадження сегментації Zero Trust для обмеження бічного руху у локальних та хмарних активів.

Ускладнення точок доступу API за допомогою WAF та регулярне проведення тестування на вразливості для виявлення прихованих векторів RCE.

Використання інструментів розвідки загроз, орієнтованих на блокчейн (наприклад, відкритий Manta Labs), для відстеження аномальних патернів UTXO та створення ванітних адрес.

Зберігання офлайн, незмінних резервних копій для критично важливих фінансових систем та щоквартальне тестування планів швидкого відновлення після катастроф.

Збільшення обміну інформацією між фінансовими CERT та правоохоронними органами для виявлення загроз у реальному часі.

Перспективи: Що далі?

Станом на липень 2025 року повідомляється, що Predatory Sparrow досліджує інші іранські банки та постачальників інфраструктури, можливо, готуючи нові масштабні операції. Кібербезпекові компанії перебувають у підвищеній готовності до нових варіантів SteelSparrow та розширеного використання ванітних адрес на інших біржах. На даний момент дії групи підкреслюють тривожну нову реальність у кіберконфлікті — де цифрові активи можуть бути знищені так само легко, як фізична інфраструктура.