În mijlocul unei breșe paralizante a firmei de tehnologie medicală Stryker, grupul a ajuns să reprezinte utilizarea de către Iran a "hacktivismului" ca acoperire pentru atacuri cibernetice haotice, de represalii, sponsorizate de stat.
De când Statele Unite și Israel au lansat o campanie largă de lovituri aeriene în Iran la sfârșitul lunii februarie, industria de securitate cibernetică a avertizat că măsurile de represalii ale țării vor include atacuri cibernetice punitive, perturbatoare, împotriva țintelor occidentale. Marți noaptea târziu, primul dintre aceste atacuri a sosit în SUA: o breșă devastatoare a firmei de tehnologie medicală Stryker, care se pare că a dezactivat până la zeci de mii de computere și a paralizat o mare parte din operațiunile globale ale companiei - toate efectuate de un grup de hackeri iranieni care se numește Handala.
"Anunțăm lumii că, ca represalii pentru atacul brutal asupra școlii Minab și ca răspuns la atacurile cibernetice în curs de desfășurare împotriva infrastructurii Axei Rezistenței, operațiunea noastră cibernetică majoră a fost executată cu succes deplin", se arată într-o declarație postată pe site-ul web al Handala, făcând referire atât la racheta Tomahawk americană care a ucis cel puțin 165 de civili la o școală de fete din Iran, cât și la numeroasele operațiuni de hacking pe care SUA și Israel le-au efectuat ca parte a atacurilor celor două țări asupra Iranului. "Acesta este doar începutul unei noi ere a războiului cibernetic."
Chiar și printre cercetătorii americani în domeniul securității cibernetice care urmăresc îndeaproape grupurile de hacking sponsorizate de stat, Handala - care își ia numele de la binecunoscutul personaj Handala din caricaturile politice ale artistului palestinian Naji al-Ali - abia dacă a dobândit o notorietate prea mare până acum. Dar cei care au urmărit evoluția grupului, în special în industria de securitate cibernetică din Israel, spun că se crede pe scară largă că grupul este un front pentru Ministerul Iranian al Informațiilor, sau MOIS. Ei au văzut hackerii devenind cel mai proeminent jucător într-un val de operatori cibernetici de stat iranieni care se prezintă ca hacktiviști în timp ce caută să producă haos zgomotos, adesea motivat politic, asupra adversarilor. Handala, sau același grup care operează sub nume anterioare, a lansat operațiuni de distrugere a datelor și de hacking-și-scurgere de ani de zile împotriva țintelor care variază de la guvernul albanez la întreprinderile și oficialii politici israelieni.
Acum, pe măsură ce regimul iranian se confruntă cu o amenințare existențială, hackerii săi - și Handala în special - au fost probabil însărcinați cu utilizarea fiecărui instrument pe care l-au ținut în rezervă și a fiecărui punct de sprijin pe care l-au obținut în liniște în interiorul unei rețele occidentale pentru a lupta împotriva SUA și a Israelului, spune Sergey Shykevich, care conduce cercetarea de informații despre amenințări la firma de securitate cibernetică Check Point, cu sediul în Tel-Aviv. "Sunt cu toții în joc", spune Shykevich. "Încearcă să facă tot ce pot acum pentru a desfășura activități distructive."
În cadrul acestui efort al agențiilor de hacking sponsorizate de stat iraniene de a obține o răzbunare digitală zgomotoasă, vizibilă public, Handala a crescut și a devenit "probabil cel mai dominant grup", spune Shykevich. "Ei sunt chipul principal acum."
Deși grupurile de hacking sunt predispuse să exagereze sau să înfrumusețeze succesele și impactul activității lor, Handala a revendicat public mai mult de o duzină de victime, majoritatea israeliene, de la începutul războiului acum două săptămâni. Grupul a "combinat manualul zgomotos și haotic al unui grup de hacktiviști cu capacitățile distructive ale unui stat-națiune", spune Justin Moore, cercetător de informații despre amenințări la grupul Unit 42 al firmei de securitate Palo Alto Networks, numindu-l pe Handala "o armă cibernetică de represalii primară pentru regimul iranian."
În ciuda haosului pe care l-a dezlănțuit, gândirea strategică a Handala nu ar trebui supraestimată, spune Rafe Pilling, director de informații despre amenințări la grupul X-Ops al firmei de securitate cibernetică Sophos. Handala pare să încerce să obțină acces rapid la organizații și să facă cât mai multe daune posibile în mijlocul loviturilor aeriene ale SUA și Israelului care se pare că au lovit părți din operațiunile cibernetice ale Iranului. "Acest lucru nu are semnele distinctive ale unui plan", spune Pilling despre recenta campanie de hacking a Handala. "Este probabil ca grupul să caute în prezent ținte de oportunitate pe care le poate lovi în Israel sau în SUA, pentru a demonstra că au un fel de efect de represalii, dar nu dintr-o perspectivă strategică."
Cercetătorii în securitate au observat pentru prima dată marca "Handala" fiind utilizată spre sfârșitul anului 2023, apărând după atacurile din 7 octombrie ale Hamas asupra Israelului și bombardamentul ulterior al țării asupra Gaza. Când a apărut Handala pentru prima dată, spune Alexander Leslie, analist de informații despre amenințări la firma de securitate Recorded Future, părea să aibă persona publică a unui grup "hacktivist pro-palestinian", dar hacking-ul său a fost aliniat cu interesele iraniene și legat de regim. Public, Handala și-a promovat cu voce tare hack-urile revendicate pe conturile Telegram și X și a rulat site-uri web publice care postează actualizări despre atacuri. De asemenea, s-a bazat pe conectivitatea prin internet prin satelit a Starlink pentru a ocoli întreruperile draconice ale internetului din Iran, a raportat recent Forbes.
În ultimii câțiva ani, spune Leslie, Handala s-a angajat în multiple operațiuni de hacking și scurgere, publicând detalii de la multe dintre victimele sale din Israel ca "armă psihologică". Dar grupul a folosit, de asemenea, malware distructiv de ștergere pentru a șterge fișierele victimelor, afectând profund sistemele lor și indicând o prezență mai sofisticată, care vizează provocarea de "durere operațională reală", așa cum o spune Leslie. Operațiunile Handala au fost "consecvente cu preferința mai largă a Teheranului pentru arhitecturi proxy și de decupare, care combină negarea cu impact psihologic", spune el.
De fapt, Check Point a constatat că Handala este doar unul dintre multele fronturi hacktiviste pe care, spune, - pe baza conexiunilor din malware-ul grupurilor și infrastructura serverelor - toate reprezintă un singur grup de hackeri sponsorizat de stat, pe care îl numește Void Manticore. Check Point a urmărit originile grupului legat de MOIS, care este cunoscut și sub alte nume în industria securității cibernetice, inclusiv Red Sandstorm și Cobalt Mystique, încă din 2022. În acel an, Microsoft a atribuit atacuri cibernetice grupului care a vizat agențiile guvernamentale albaneze cu malware de ștergere a datelor. Grupul, care folosea atunci handle-ul Homeland Justice, a fost aparent motivat de încercarea regimului iranian de a convinge Albania să nu găzduiască membri ai unui grup de opoziție iranian, Mojahedin-e-Khalq, cu sediul acolo.
După atacurile Hamas din 7 octombrie și războiul de represalii al Israelului în Gaza, care a ucis zeci de mii de oameni pe teritoriu, Void Manticore pare să fi creat subgrupul Handala pentru a ataca ținte israeliene sub mantaua cauzei pro-palestiniene. "Atâta timp cât gloanțele și vărsarea de sânge de pe pământul meu nu obosesc și rana este încă pe picior, vom sta. #FreePalestine", se arată într-o declarație postată pe site-ul grupului.
Handala a postat pe site-ul său web anunțuri despre ceea ce păreau a fi operațiuni de extorcare în stil ransomware și încălcări de hacking și scurgeri, deși adevărata amploare a intruziunilor sale asupra victimelor a fost adesea dificil de verificat. În unele cazuri, a folosit malware criminal reprofilat, cum ar fi infostealer-ul Rhadamanthys, dar în altele a folosit instrumente distructive pentru a șterge cât mai multe date posibil din rețelele victimelor din guvernul și industria financiară israeliană, folosind e-mailuri de phishing și actualizări de securitate false pentru a implementa specimene de cod care includeau Coolwipe, Chillwipe și Bibiwiper, numit după premierul israelian Benjamin Netanyahu. "Această combinație de front ransomware, stratificat cu branding hacktivist și tactici sponsorizate de stat, îi face unici printre grupurile de actori de amenințare", spune Ian Gray, cercetător pentru firma de securitate Flashpoint.
În cea mai recentă operațiune de profil înalt înainte de războiul SUA și israelian asupra Iranului, Handala s-a mutat din nou la hacking și scurgerea înregistrărilor telefonice private ale oficialilor israelieni. Hackerii au susținut că au spart iPhone-urile șefului de cabinet al lui Netanyahu, Tzachi Braverman, și ale fostului prim-ministru Naftali Bennett, deși unele analize ale încălcărilor au sugerat că au obținut de fapt doar conturile lor Telegram.
Odată cu izbucnirea războiului, hackerii Handala ar fi putut fi parțial reatribuiți muncii de recunoaștere: Grupul a fost unul dintre cele trei grupuri de hackeri iranieni pe care Check Point le-a observat încercând să exploateze vulnerabilități în camerele de securitate civile conectate la internet din Orientul Mijlociu. Aceste tentative de hacking ale camerelor au coincis îndeaproape cu momentul loviturilor aeriene ale SUA și Israelului în Iran și s-au potrivit geografic cu contraatacurile Iranului în țări din Bahrain, Emiratele Arabe Unite, Israel și chiar Cipru, sugerând că camerele piratate au fost probabil destinate supravegherii ca parte a operațiunilor militare și, eventual, a țintirii loviturilor cu rachete și drone.
În ciuda tacticilor sale oportuniste, încălcarea Stryker, cu sediul în Michigan, poate fi cea mai importantă operațiune a sa de până acum, având în vedere lupta continuă a companiei de joi pentru a reveni la operațiunile normale. Handala a susținut că a atacat compania din cauza legăturilor "sioniste", cum ar fi compania israeliană Orthospace pe care a achiziționat-o în 2019 și un contract militar american de 450 de milioane de dolari anul trecut, după cum a raportat Bloomberg. Stryker nu a răspuns imediat solicitării de comentarii a WIRED.
Mai probabil, spune Shykevich de la Check Point, Handala a spart Stryker pentru că a putut. "Nu sunt sigur că aveau un plan", spune el. "Probabil că au găsit o oportunitate, iar acum este o mare victorie pentru ei."
Odată cu prelungirea războiului din Iran, Handala încearcă aparent să găsească fiecare punct de sprijin posibil pentru a semăna cât mai mult haos posibil, anunțând adesea un "avertisment sever" în mesajele sale publice sau știri care vor "cutremura lumea cibernetică". Oricât de exagerate au fost uneori aceste afirmații și avertismente, natura întâmplătoare a atacurilor sale nu este o consolare pentru ținte precum Stryker. Așa cum a formulat-o una dintre postările Handala, "controlul jocului este în mâinile noastre."