Trong lúc Israel và Mỹ tập trung tấn công các cơ sở hạt nhân của Iran, một mũi tấn công khác âm thầm được thực hiện – không phải trên không hay trên đất liền, mà trong chính hạ tầng tài chính giúp Iran duy trì kết nối với phần còn lại của thế giới.
Theo giới chức Israel và các nguồn tin am hiểu chiến dịch, cả nhà chức trách Israel và một nhóm hacker thân Israel có tên “Predatory Sparrow” đã phối hợp nhắm vào các tổ chức tài chính mà người Iran sử dụng để chuyển tiền và né tránh các lệnh trừng phạt quốc tế. Các lệnh cấm vận này được áp đặt từng đợt trong nhiều thập kỷ qua vì chương trình hạt nhân của Iran và việc nước này hỗ trợ các nhóm Hồi giáo cực đoan, và chủ yếu nhằm cắt đứt Tehran khỏi hệ thống tài chính toàn cầu.
Trong tuần qua, nhóm “Predatory Sparrow” tuyên bố đã đánh sập Ngân hàng Sepah, một ngân hàng quốc doanh đóng vai trò chủ chốt trong việc phục vụ Lực lượng Vũ trang Iran và xử lý các khoản thanh toán cho các nhà cung ứng nước ngoài. Nhóm cho biết họ đã làm tê liệt hệ thống ngân hàng trực tuyến và mạng lưới máy rút tiền của Sepah. Truyền thông nhà nước Iran sau đó đã thừa nhận thiệt hại.
Nhóm cũng tuyên bố đã xâm nhập vào Nobitex – sàn giao dịch tiền mã hóa lớn nhất Iran, vốn được người dân ưa chuộng để chuyển tiền ra nước ngoài. Theo thông tin từ chính Nobitex, cuộc tấn công khiến khoảng 100 triệu USD bị rút khỏi sàn, buộc nền tảng này phải ngừng hoạt động ngay sau đó.
Trước làn sóng tấn công, chính phủ Iran đã cắt giảm mạnh hoạt động trực tuyến trong nước nhằm ngăn chặn các vụ xâm nhập tiếp theo và kiểm soát nguy cơ lan rộng bất ổn xã hội. Các trang web quốc tế bị chặn truy cập. Người dân được cảnh báo không sử dụng điện thoại hay ứng dụng nhắn tin nước ngoài – những công cụ bị cho là có thể ghi âm và định vị, phục vụ cho hoạt động gián điệp của Israel. Trong khi đó, các quan chức chính phủ bị cấm dùng máy tính xách tay và đồng hồ thông minh.
“Predatory Sparrow” tuyên bố rằng cả hai vụ tấn công đều nhằm vào các “huyết mạch tài chính” của Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), tổ chức quân sự quyền lực nhất nước này, đồng thời kiểm soát một phần lớn nền kinh tế quốc gia. Nhóm này đăng trên nền tảng X: “Người dân Iran hãy rút tiền trước khi quá muộn”.
Tính đến nay, cả Sepah và Nobitex vẫn đang vật lộn để phục hồi. Nobitex thừa nhận đang đối mặt với vô số trở ngại trong việc khôi phục dịch vụ và đặt mục tiêu mở lại giao dịch trong tuần này. Một số người dùng Sepah cho biết họ vẫn chưa nhận được tiền gửi vào tài khoản.
“Predatory Sparrow” không nói rõ liệu họ có hành động dưới sự chỉ đạo của chính phủ Israel hay không. Tuy nhiên, ông Deddy Lavid, Giám đốc điều hành công ty an ninh mạng Cyvers có trụ sở tại Tel Aviv, nói rằng: “Nhóm hacker này cho thấy mức độ tinh vi cao, chọn mục tiêu có chủ đích và phát đi những thông điệp mang tính chính trị rõ rệt, tất cả đều phù hợp với hình mẫu của một tổ chức tác chiến mạng được nhà nước hậu thuẫn và có liên hệ với Israel” .
Loạt tấn công mạng mới giáng thêm một đòn nặng vào nền kinh tế Iran – vốn đã bị suy kiệt vì các lệnh trừng phạt của Mỹ, từ việc cấm mua dầu đến cấm giao dịch với hệ thống ngân hàng Iran. Hiện nền kinh tế Iran chủ yếu dựa vào một số ít đối tác thương mại, nổi bật nhất là Trung Quốc. Theo Ngân hàng Thế giới (WB), lạm phát tại Iran hiện vượt ngưỡng 40% mỗi năm. Làn sóng người lao động có tay nghề cao rời bỏ đất nước cũng đang kìm hãm triển vọng phục hồi.
Mặc dù Israel đã xác nhận một lệnh ngừng bắn với Iran vào tuần trước, nhưng các chuyên gia an ninh mạng và giới chức Israel đều cho rằng cuộc chiến trên không gian mạng sẽ không dừng lại. Ông Lavid nhận định: “Israel nhiều khả năng sẽ tiếp tục thực hiện các đòn tấn công mạng chính xác nhắm vào các trung tâm quyền lực của chế độ Iran”.
Giới chức tại Cục Quốc gia chống Tài trợ Khủng bố (NBCTF) của Israel cho biết họ không có thông tin xác thực nào về mối liên hệ trực tiếp giữa “Predatory Sparrow” và nhà nước Israel. Tuy nhiên, họ khẳng định chiến lược tổng thể là nhắm vào hệ thống tài chính đang giúp Iran tài trợ cho các lực lượng quân sự và các nhóm ủy nhiệm.
Trong khi đó, các nhóm hacker thân Iran cũng bắt đầu phản công, nhắm vào các trang web của chính phủ Israel bằng các cuộc tấn công từ chối dịch vụ (DDoS) – hình thức tấn công khiến hệ thống mạng bị nghẽn bằng lượng truy cập giả mạo khổng lồ, đồng thời phát tán tin nhắn lừa đảo để đánh cắp dữ liệu từ điện thoại người dân Israel. Tuy nhiên, Cục An ninh mạng quốc gia Israel cho biết các cuộc tấn công này trong những tuần gần đây không gây ra thiệt hại đáng kể.
Càng về cuối, nỗi lo sợ lan rộng trong dân chúng Iran khi các cuộc tấn công – cả vật lý lẫn trên mạng – ngày càng gia tăng. “Tốt hơn hết là cắt mạng luôn đi. Israel có thể thấy hết mọi thứ rồi còn gì”, ông Mohammad Ghorbaniyan, một người đổi tiền ở Tehran từng bị Mỹ trừng phạt với cáo buộc hỗ trợ tin tặc Iran (mà ông phủ nhận), nói.
Vụ tấn công mạng nhằm vào Sepah hôm thứ Ba tuần trước đã khiến nhiều giao dịch tài chính bị gián đoạn, bao gồm cả việc chi trả lương hưu cho các cựu quân nhân, theo hãng tin Fars – cơ quan truyền thông do IRGC kiểm soát. Đồng thời, hàng loạt cây ATM của ngân hàng này cũng ngừng hoạt động.
Bộ Tài chính Mỹ từng xác định Sepah là một mắt xích quan trọng trong hệ thống tài chính phục vụ quốc phòng của Iran, với nhiều chi nhánh đặt ngay trong các căn cứ quân sự. Ngân hàng này được cho là hỗ trợ Bộ Quốc phòng Iran chi trả cho các nhà cung ứng quốc tế thông qua một mạng lưới ngân hàng ngầm phức tạp.
Chỉ một ngày sau, đến lượt Nobitex – sàn giao dịch tiền điện tử lớn nhất Iran – buộc phải tạm ngưng hoạt động. Theo dữ liệu từ các công ty phân tích chuỗi khối và giới chức thuộc NBCTF, Nobitex, có trụ sở tại Tehran, đã xử lý khối lượng giao dịch vượt quá 22 tỷ USD kể từ khi được thành lập vào năm 2017.
“Đây là một vụ tấn công mang động cơ chính trị, nhằm gieo rắc hoang mang và gây thiệt hại về tài sản cho người dân Iran”, ông Amir Rad, Giám đốc điều hành Nobitex, phát biểu trong một đoạn video đăng trên kênh Telegram chính thức của công ty.
Tại Iran, cũng như ở Nga và nhiều quốc gia bị cô lập khỏi hệ thống tài chính quốc tế, tiền mã hóa – đặc biệt là các stablecoin gắn với giá trị của đồng USD, như Tether – đã trở thành một phương tiện tài chính thiết yếu. Chúng cho phép người dùng chuyển tiền giữa các ngân hàng trong và ngoài nước mà không cần đi qua hệ thống tài chính truyền thống.
Nobitex hiện có khoảng 11 triệu người dùng, chủ yếu sử dụng nền tảng để quy đổi đồng rial sang tether, từ đó tiếp tục chuyển đổi thành các loại tiền tệ phổ biến hơn ở nước ngoài. Trên trang LinkedIn cá nhân, ông Rad từng viết rằng mục tiêu của Nobitex là giúp người Iran tiếp cận thế giới tiền điện tử bất chấp “cái bóng của các lệnh trừng phạt”.
“Nobitex chính là công cụ trung gian giúp người Iran lách qua các rào cản tài chính do lệnh cấm vận áp đặt”, ông Amit Levin, cựu công tố viên Israel, từng điều tra tại sàn giao dịch Binance và hiện là cố vấn về chống tội phạm tài chính, nhận định.
Theo một số quan chức Israel và các công ty phân tích chuỗi khối, IRGC cũng từng sử dụng Nobitex để thực hiện các giao dịch quốc tế. Công ty phân tích dữ liệu Elliptic cho biết hai thành viên của IRGC – những người bị Mỹ cáo buộc dính líu đến các vụ tấn công bằng mã độc nhắm vào các công ty Mỹ – đã dùng Nobitex để chuyển tiền.
Tuy nhiên, ông Rad phủ nhận điều này, cho rằng IRGC chưa bao giờ sử dụng nền tảng Nobitex để thực hiện giao dịch tài chính, đồng thời khẳng định công ty hoạt động minh bạch và tuân thủ quy trình giám sát nội bộ nghiêm ngặt.
Nhóm hacker “Predatory Sparrow” được cho là đã tiến hành các hoạt động phá hoại ở Iran từ ít nhất năm 2021. Trong những chiến dịch trước đó, nhóm từng làm tê liệt hệ thống thanh toán tại các trạm xăng trên toàn quốc và gây ra hỏa hoạn tại một nhà máy thép.
Trong vụ tấn công Nobitex gần đây, nhóm đã giành quyền kiểm soát các ví tiền mã hóa của sàn – theo lời ông Rad, đó là những ví được quản lý trực tiếp bởi các nhân sự cấp cao của công ty.
Sau khi chiếm quyền truy cập, “Predatory Sparrow” đã “tiêu hủy” số tiền mã hóa trị giá 100 triệu USD bằng cách chuyển chúng đến những ví kỹ thuật số mà chính nhóm này cũng không thể truy cập được. Đáng chú ý, các địa chỉ ví – vốn là những dãy ký tự ngẫu nhiên – được thiết kế có chủ đích để chứa những thông điệp lăng mạ lực lượng IRGC.
Trong báo cáo ban đầu về vụ việc, ông Rad cho rằng rất có thể chính phủ Israel đã đứng sau vụ tấn công này, dù ông không đưa ra được bằng chứng cụ thể. Ông nhấn mạnh Nobitex là một doanh nghiệp tư nhân độc lập, không có bất kỳ liên hệ nào với chính phủ Iran và IRGC.
“Không kích Tehran bất cứ lúc nào”: Israel định hình học thuyết tấn công mới với Iran
Hé lộ thiệt hại nặng nề của Israel sau "mưa tên lửa" của Iran: Hàng loạt mục tiêu bị san phẳng
