Từ bom đạn đến bàn phím: Israel tung đòn tấn công mạng khiến 100 triệu USD bốc hơi, ngân hàng Iran tê liệt

Khi Israel và Mỹ tiến hành các cuộc không kích vào các cơ sở hạt nhân của Iran, một mặt trận khác âm thầm mở ra: cuộc chiến mạng nhằm vào hệ thống tài chính then chốt của Tehran.

Theo các quan chức Israel và những người am hiểu tình hình, chính quyền Israel cùng nhóm tin tặc thân Israel có tên Predatory Sparrow đã tấn công loạt tổ chức tài chính giúp Iran chuyển tiền và lách các lệnh trừng phạt kinh tế do Mỹ dẫn đầu. Các biện pháp trừng phạt này, kéo dài hàng thập kỷ vì chương trình hạt nhân và việc Iran hậu thuẫn các nhóm Hồi giáo, nhằm cô lập quốc gia này khỏi hệ thống tài chính toàn cầu.

Tuần trước, nhóm Predatory Sparrow tuyên bố đã làm tê liệt Ngân hàng Sepah, ngân hàng nhà nước phục vụ lực lượng vũ trang Iran và xử lý thanh toán quốc tế cho họ. Nhóm đã khiến các dịch vụ ngân hàng trực tuyến và ATM của Sepah ngừng hoạt động. Truyền thông nhà nước Iran đã xác nhận sự cố.

Nhóm này cũng nhắm vào Nobitex — sàn giao dịch tiền điện tử lớn nhất Iran, nơi người dân thường dùng để chuyển tiền ra nước ngoài. Tin tặc đã chiếm đoạt khoảng 100 triệu USD và buộc sàn phải ngừng hoạt động.

Để đối phó, Chính phủ Iran đã đình chỉ phần lớn hoạt động trực tuyến trên toàn quốc, chặn truy cập các trang web nước ngoài và cảnh báo người dân không dùng điện thoại hay ứng dụng nhắn tin có thể bị nước ngoài khai thác dữ liệu. Quan chức bị cấm sử dụng máy tính xách tay và đồng hồ thông minh trong công việc.

Theo Predatory Sparrow, các cuộc tấn công nhằm vào “nguồn tài chính” của Lực lượng Vệ binh Cách mạng Hồi giáo — lực lượng quyền lực nhất trong quân đội Iran và kiểm soát nhiều lĩnh vực kinh tế. “Những người dân Iran cao quý! Hãy rút tiền trước khi quá muộn,” nhóm kêu gọi trên nền tảng X.

Tính đến nay, cả Bank Sepah và Nobitex vẫn chưa phục hồi hoàn toàn. Nobitex thông báo đang nỗ lực khôi phục dịch vụ và dự kiến nối lại giao dịch trong tuần tới. Một số khách hàng Bank Sepah cho biết vẫn chưa thể nhận tiền gửi.

Đến nay, nhóm Predatory Sparrow không xác nhận mối liên kết với chính phủ Israel, tuy nhiên, theo ông Deddy Lavid, Giám đốc điều hành Cyvers – công ty an ninh mạng có trụ sở tại Tel Aviv – mức độ tinh vi, mục tiêu tấn công và thông điệp địa chính trị của nhóm này cho thấy khả năng cao đây là một tác nhân mạng được nhà nước hậu thuẫn, có liên hệ với Israel.

Các đợt tấn công mạng mới nhất đã giáng đòn vào nền kinh tế Iran vốn đang chật vật vì các lệnh trừng phạt của Mỹ, trong đó cấm các quốc gia mua dầu từ Iran hoặc giao dịch với hệ thống ngân hàng của nước này. Kinh tế Iran phụ thuộc lớn vào một số ít đối tác thương mại, đáng chú ý là Trung Quốc. Theo Ngân hàng Thế giới (WB), lạm phát hàng năm ở Iran đã vượt ngưỡng 40%. Tình trạng chảy máu chất xám khi llàn sóng lao động có tay nghề cao rời khỏi đất nước này đang tiếp tục làm trầm trọng thêm triển vọng tăng trưởng.

Trong khi đó, Israel xác nhận đã đạt được thỏa thuận ngừng bắn với Iran vào ngày 24/6. Tuy nhiên, các chuyên gia an ninh mạng và quan chức Israel nhận định cuộc chiến tranh trên mặt trận an ninh mạng vẫn chưa dừng lại. “Israel nhiều khả năng sẽ tiếp tục các cuộc tấn công mạng chính xác nhắm vào các trung tâm quyền lực của chế độ Iran,” ông Lavid nhận định.

Các quan chức từ Cục Quốc gia chống Tài trợ Khủng bố của Israel (NBCTF) cho biết họ không có bằng chứng cụ thể về mối liên hệ trực tiếp giữa Predatory Sparrow và chính phủ Israel. Tuy nhiên, họ nhấn mạnh rằng chiến lược hiện tại của Israel là làm tê liệt các nền tảng kinh tế hỗ trợ tài chính cho quân đội Iran và các lực lượng ủy nhiệm. Đầu tháng này, Israel đã áp đặt các biện pháp trừng phạt đối với Ngân hàng Trung ương Iran và nhiều ngân hàng khác do Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC) sử dụng.

NBCTF – đơn vị thuộc Bộ Quốc phòng Israel – đang lên kế hoạch mở rộng hợp tác với các sàn giao dịch tiền điện tử ngoài Iran nhằm thu giữ thêm tài sản từ Nobitex. Các quan chức cho biết đã xác định được khoảng 150 triệu USD tiền mã hóa vẫn do Nobitex nắm giữ.

Trong khi đó, các nhóm tin tặc ủng hộ Iran đã phản công bằng loạt cuộc tấn công từ chối dịch vụ (DDoS) nhằm vào các trang web chính phủ Israel, với mục tiêu làm quá tải hệ thống định tuyến lưu lượng mạng. Đồng thời, các chiến dịch lừa đảo được triển khai nhằm xâm nhập điện thoại di động của người dân Israel. Tuy nhiên, theo Cục An ninh mạng quốc gia Israel, các cuộc tấn công từ phía Iran trong thời gian gần đây không gây ra thiệt hại đáng kể.

Tại Iran, cảm giác bất an lan rộng khi đất nước đối mặt với cả các cuộc tấn công vật lý và mạng. “Tốt hơn là nên ngắt kết nối internet. Israel có thể nhìn thấy mọi thứ,” Mohammad Ghorbaniyan – một người đổi tiền ở Tehran từng bị Mỹ trừng phạt với cáo buộc hỗ trợ tin tặc Iran (mà ông phủ nhận) – nói.

Cuộc tấn công vào Ngân hàng Sepah hôm 24/6 đã khiến hàng loạt giao dịch bị tê liệt, bao gồm cả việc chi trả lương hưu cho cựu quân nhân, theo Fars News Agency – cơ quan truyền thông do Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC) kiểm soát. Nhiều cây ATM của ngân hàng ngừng hoạt động. Theo Bộ Tài chính Hoa Kỳ, Ngân hàng Sepah – có chi nhánh đặt tại các căn cứ quân sự Iran – đóng vai trò quan trọng trong việc thanh toán cho các nhà cung cấp nước ngoài thông qua một mạng lưới ngân hàng ngầm quy mô lớn.

Ngày hôm sau, Nobitex buộc phải ngừng hoạt động. Với trụ sở đặt tại Tehran, Nobitex đã xử lý hơn 22 tỷ USD giao dịch kể từ khi thành lập vào năm 2017, theo dữ liệu từ các công ty phân tích blockchain và quan chức thuộc Cục Chống Tài trợ Khủng bố Quốc gia Israel (NBCTF).

“Cuộc tấn công này mang động cơ chính trị, nhằm gây tổn thất tinh thần và thiệt hại tài chính cho người dân Iran,” Giám đốc điều hành Nobitex – ông Amir Rad – phát biểu trong một video đăng tải trên kênh Telegram của công ty.

Tương tự như Nga và các quốc gia bị cắt khỏi hệ thống tài chính quốc tế, tiền điện tử – đặc biệt là các đồng tiền ổn định (stablecoin) như Tether gắn với USD – đã trở thành một giải pháp thay thế thiết yếu tại Iran. Nó cho phép người dân chuyển tiền giữa các ngân hàng trong và ngoài nước mà không cần thông qua hệ thống tài chính truyền thống.

Với khoảng 11 triệu người dùng, Nobitex cho phép đổi rial Iran sang tether, từ đó có thể chuyển đổi thành các loại tiền tệ truyền thống khác ở nước ngoài. Trên trang LinkedIn cá nhân, ông Rad từng khẳng định sứ mệnh của Nobitex là giúp người Iran tiếp cận tiền điện tử bất chấp "bóng đen của các lệnh trừng phạt".

Theo các quan chức Israel và các nhà phân tích blockchain, Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) cũng đã sử dụng sàn giao dịch Nobitex để thực hiện các giao dịch thanh toán quốc tế. Công ty phân tích tiền điện tử Elliptic cho biết họ đã phát hiện hai điệp viên của IRGC – những người bị Mỹ cáo buộc tiến hành các cuộc tấn công ransomware nhằm vào doanh nghiệp Mỹ – đã sử dụng nền tảng này để chuyển tiền.

Tuy nhiên, Giám đốc điều hành Nobitex, ông Amir Rad, phủ nhận cáo buộc. Ông khẳng định sàn giao dịch của mình hoạt động minh bạch và chịu sự giám sát chặt chẽ, không phải công cụ tài chính cho IRGC.

Nhóm tin tặc Predatory Sparrow đã thực hiện nhiều cuộc tấn công quy mô lớn nhắm vào Iran từ ít nhất năm 2021. Trước đây, nhóm từng gây tê liệt hệ thống thanh toán tại các trạm xăng trên toàn quốc và châm ngòi cho một vụ hỏa hoạn tại nhà máy thép lớn của Iran.

Trong vụ tấn công mới nhất nhằm vào Nobitex, theo ông Rad, tin tặc đã đánh cắp được khóa truy cập ví điện tử – yếu tố bảo mật then chốt – do các nhân sự cấp cao của công ty nắm giữ.

Predatory Sparrow sau đó đã tiêu hủy số tiền điện tử trị giá 100 triệu USD bằng cách chuyển các token sang những ví kỹ thuật số không thể truy cập, bao gồm cả các địa chỉ mang nội dung xúc phạm như “F—IRGCterrorists”. Các ví này sử dụng chuỗi ký tự ngẫu nhiên nhưng được thiết kế để truyền tải thông điệp chính trị.

Tham khảo Wall Street Journal (WSJ)

>> Nhiều sân bay vỡ trận, trung tâm hàng không thế giới tê liệt vì căng thẳng Trung Đông