יצירת קשר
בתאריך ה-18 ביוני 2025, המלחמה בין ישראל לאיראן עלתה מדרגה. מתקפת סייבר מתוחכמת על בורסת הקריפטו הגדולה באיראן, נוביטקס, לא הסתכמה בגניבה, אלא בהשמדה טוטאלית של נכסים בשווי 90 מיליון דולר. זו לא הייתה עוד מתקפה; זו הייתה הצהרת כוח פוליטית, מבצע הרס כלכלי טהור שסימן פרק חדש בלוחמת הסייבר הגיאופוליטית.
המתקפה, שקבוצת ההאקרים הפרו-ישראלית "דרור טורף" (Predatory Sparrow) נטלה עליה אחריות, לא התרחשה בחלל ריק. היא הגיעה חמישה ימים בלבד לאחר סדרת תקיפות אוויריות שביצעה ישראל נגד מטרות באיראן, ויום אחד בלבד לאחר שאותה קבוצת האקרים השביתה את רשת הכספומטים של בנק ספה, המזוהה עם משמרות המהפכה. היה זה מהלך מתוזמר היטב שהעביר את המערכה מהעולם הפיזי אל התשתית הכלכלית הקריטית ביותר של המשטר האיראני.
הדרמה החלה בשעות הבוקר המוקדמות, כאשר הצוותים הטכניים של נוביטקס זיהו פעילות חריגה וגישה לא מורשית לארנקים החמים (hot wallets) של הבורסה. בתוך שעות, התברר היקף האסון: 90 מיליון דולר נמשכו באופן שיטתי. ניתוח בלוקצ'יין שבוצע על ידי חברות מובילות כמו Elliptic ו-Chainalysis חשף כי ההרס פוזר על פני שמונה רשתות שונות לפחות, כאשר 49 מיליון דולר הושמדו על רשת טרון (Tron) לבדה.
אך גולת הכותרת לא הייתה הגניבה עצמה, אלא הפעולה שבאה אחריה. במקום להעביר את הכספים לארנקים אנונימיים במטרה לממש אותם, התוקפים שלחו אותם לכתובות מיוחדות (vanity address) שנוצרו במכוון כדי להשמידם. כתובות אלו, שהתפזרו על פני רשתות בלוקצ'יין רבות, הכילו וריאציות של מסר נוקב נגד משמרות המהפכה. בכך, הם "שרפו" את הכסף והפכו את הבלוקצ'יין, ספר החשבונות הציבורי והבלתי ניתן לשינוי, למצבת זיכרון פוליטית שתתקיים לנצח. הפעולה הוכיחה מעל לכל ספק: המטרה לא הייתה פיננסית, אלא הרס כלכלי והשפלה פומבית.
ניתוח פורנזי של חברת הסייבר Hudson Rock, שפורסם לאחר מכן, חשף את ההכנה המדוקדקת שקדמה למתקפה. התשתית לפריצה הונחה למעלה משנה קודם לכן; חדירה ראשונית הושגה בספטמבר 2023, כאשר נוזקת ריגול מסוג Redline הדביקה מחשב של אחד מעובדי הבורסה. פריצה שנייה בספטמבר 2024, באמצעות נוזקת StealC, אפשרה גניבת פרטי גישה קריטיים נוספים. התוקפים ניצלו את הגישה הזו כדי למפות בסבלנות את המערכות הפנימיות, לזהות חולשות, ולתכנן בקפידה את המהלך שיעקוף את כל מנגנוני ההגנה.
התחכום והסבלנות שהופגנו במתקפה העלו מיד את השאלה מי עומד מאחוריה. קבוצת "דרור טורף", הידועה גם בשמה הפרסי "גונג'שקה דראנדה", אינה שחקן חדש בזירה. מאז הופעתה ב-2021, היא ביצעה שורה של מתקפות נועזות ומתוחכמות נגד תשתיות איראניות, כולל השבתת כ-80% מתחנות הדלק במדינה וגרימת נזק פיזי למפעלי פלדה. לדעת מומחי סייבר, דפוס הפעולה – הכולל תחכום טכני, תכנון ארוך טווח ובחירת מטרות אסטרטגיות באופן עקבי – שייך לגוף מדינתי הפועל במכוון באזור האפור שבין האקטיביזם הלוחמני לזרוע מבצעית, ובכך משיג יכולת להכות בעוצמה תוך שמירה על הכחשה סבירה.
קבוצה בעלת מיקוד אסטרטגי כמו "דרור טורף" אינה בוחרת מטרות באקראי. הבחירה בנוביטקס הייתה מהלך מחושב, שכיוון ללב הכלכלה השחורה של איראן. עם למעלה מ-7 מיליון משתמשים והיקפי פעילות היסטוריים של יותר מ-11 מיליארד דולר, הבורסה שלטה ב-87% משוק הקריפטו המקומי – הרבה מעבר לפעילות המשולבת של עשר הבורסות הבאות אחריה. היא לא הייתה רק פלטפורמה פיננסית; היא הייתה עורק חיים כלכלי עבור המשטר.
חברות ניתוח בלוקצ'יין בינלאומיות תיעדו במשך שנים כיצד נוביטקס משמשת ככלי מרכזי לעקיפת סנקציות. חמור מכך, הפלטפורמה זוהתה כצינור להעברת כספים לגופי טרור הנתמכים על ידי איראן, ביניהם חמאס והג'יהאד האסלאמי. בנוסף, תועדו קשרים בינה לבין פעילי משמרות המהפכה שהיו תחת סנקציות אישיות של משרד האוצר האמריקאי. הנושא אף עלה במכתב רשמי של הסנאטורים אליזבת וורן ואנגוס קינג לממשל ביידן במאי 2024. הרקע הזה מספק למתקפה הקשר רחב יותר: התוקפים לא פגעו בגוף פיננסי תמים, אלא בתשתית ששירתה באופן פעיל את כלכלת המלחמה והטרור של איראן.
בטווח המיידי שלאחר המתקפה, התגובות חשפו את עומק הזעזוע. נוביטקס מיהרה לפרסם הודעה פומבית בניסיון להרגיע את המשתמשים, והבטיחה כי כספיהם בטוחים. במקביל, בניסיון נואש לשדר שליטה ולחזק את אמון המשתמשים המעורער, הבורסה העבירה כמויות גדולות של ביטקוין לארנקים קרים (cold storage) חדשים, כדי לחזק את מערך האבטחה ולהפחית את החשיפה למתקפות עתידיות דומות.
אך ההשפעה חרגה הרבה מעבר לבורסה עצמה והצביעה על פאניקה מערכתית. לפי דיווחים, הבנק המרכזי של איראן הורה על צעד דרסטי לכלל הבורסות במדינה: הגבלת שעות הפעילות בין 10 בבוקר ל-8 בערב. "עוצר תפעולי" זה נתפס כניסיון של המשטר להדק את הפיקוח ולהשתלט מחדש על מגזר שחשיבותו לעקיפת הסנקציות הפכה אותו גם לנקודת תורפה אסטרטגית.
המתקפה על בורסת נוביטקס תיזכר בהיסטוריה כהרבה יותר מפריצת סייבר מוצלחת; היא מסמלת נקודת מפנה מהותית ובלתי הפיכה באופיו של סכסוך גיאופוליטי מודרני. ההחלטה של קבוצת "דרור טורף" להשמיד בפומבי נכסים בשווי 90 מיליון דולר, במקום לגנוב אותם, היא זו שהופכת את האירוע למעשה מלחמה כלכלית מתוחכם. התוקפים ניצלו את תכונת אי-ההפיכות של הבלוקצ'יין כדי להפוך את ספר החשבונות הציבורי לנשק, וצרבו עליו מסר פוליטי משפיל שנועד להדהד לנצח. בכך, המתקפה כוונה לא רק לפגיעה פיננסית, אלא לערעור מורלי, לזריעת כאוס ולהפגנת יכולת חדירה עמוקה למערכת הכלכלית של המשטר.
כאשר בוחנים את המתקפה בהקשר הרחב יותר של המלחמה בין ישראל לאיראן, היא מסמנת את פתיחתה של חזית חדשה. היא מעידה על שינוי אסטרטגי מתקיפות על תשתיות פיזיות, למכות מחושבות נגד עורקי החיים הדיגיטליים והכלכליים המקיימים את המשטר. בחירת נוביטקס כמטרה לא הייתה מקרית; זו הייתה פגיעה כירורגית במערכת העצבים המרכזית של מכונת עקיפת הסנקציות וצינורות המימון של שלוחיו.
