Иранские хакеры объявили джихад: кому и чем угрожает группа "Хандала"

Одним из первых их ударов стал взлом системы медицинской технологической компании Stryker в США, в результате которого были выведены из строя десятки тысяч компьютеров и парализована большая часть глобальных операций компании. Ответственность взяла на себя иранская хакерская группа Handala, пишет Wired.

"Мы заявляем миру, что в отместку за жестокое нападение на школу в Минабе и в ответ на продолжающиеся кибератаки на инфраструктуру "Оси сопротивления" была проведена наша крупная кибероперация", — говорится в заявлении, опубликованном на сайте Handala, где упоминается как американская ракета Tomahawk , убившая по меньшей мере 165 мирных жителей в женской школе в Иране, так и многочисленные хакерские операции, проведенные США и Израилем в рамках атак обеих стран на территории Ирана. Иранские хакеры заявили, что это "только начало новой эры кибервойны".

Даже среди американских исследователей кибербезопасности, внимательно отслеживающих деятельность спонсируемых государством хакерских групп, группа Handala – получившая свое название от известного персонажа Хандалы из политических карикатур палестинского художника Наджи аль-Али – до сих пор практически не была известна.

Однако те, кто следил за развитием этой группы, особенно в израильской индустрии кибербезопасности, говорят, что сейчас широко распространено мнение, будто она является прикрытием для Министерства разведки Ирана.

Иранские хакеры — что известно о группе "Хандала"

Handala, или та же группа, действующая под более ранними названиями, годами проводила операции по уничтожению данных, взлому и утечке информации против целей, начиная от албанского правительства и заканчивая израильскими компаниями и политическими деятелями.

Сейчас, когда иранский режим сталкивается с экзистенциальной угрозой , его хакерам, вероятно, поручено использовать все имеющиеся у них инструменты и все точки опоры, которые они незаметно получили в западных сетях, чтобы противостоять США и Израилю, говорит Сергей Шикевич, руководитель отдела исследований угроз в тель-авивской компании по кибербезопасности Check Point.

"Они действуют решительно, – говорит Шикевич. – Сейчас они пытаются сделать все возможное, чтобы осуществить деструктивные действия".

И по его мнению, Handala превратилась в "вероятно, самую доминирующую группу".

Хотя хакерские группировки склонны преувеличивать или приукрашивать свои успехи и последствия своей деятельности, Handala публично заявила о более чем дюжине жертв, в основном израильтян, с начала войны две недели назад. Группа "сочетает шумную, хаотичную тактику хактивистской группировки с разрушительными возможностями национального государства", — говорит Джастин Мур, исследователь угроз компании Palo Alto Networks, называя Handala "основным инструментом кибер-ответа иранского режима", который прямо сейчас ищет подходящие цели.

Исследователи в области безопасности впервые обнаружили использование бренда "Handala" в конце 2023 года, после терактов ХАМАС 7 октября против Израиля и последующих бомбардировок Газы. Когда Handala впервые появилась, она имела публичный имидж "пропалестинской хактивистской" группы, но ее хакерская деятельность была связана с иранскими интересами и указывала на связь с режимом. Публично Handala активно рекламировала свои предполагаемые взломы в Telegram и X-аккаунтах, а также вела публичные веб-сайты, публикуя обновления об атаках. Кроме того, она использовала спутниковую интернет-связь Starlink для обхода драконовских отключений интернета в Иране .

Handala совершила множество хакерских атак и утечек информации, публикуя данные многих своих жертв в Израиле в качестве "психологического оружия". Но группа также использовала вредоносное ПО для удаления файлов жертв.

Фактически, Check Point обнаружила, что Handala — лишь одна из нескольких хактивистских группировок, которые, по ее данным (на основе связей в вредоносном ПО и серверной инфраструктуре групп), представляют собой единую спонсируемую государством группу хакеров, которую она называет Void Manticore. Check Point отслеживает происхождение группы, связанной с MOIS, которая также известна под другими названиями в индустрии кибербезопасности, включая Red Sandstorm и Cobalt Mystique, еще с 2022 года. В том году Microsoft приписала кибератаки этой группе, которая атаковала албанские правительственные учреждения с помощью вредоносного ПО, уничтожающего данные. Группа, тогда использовавшая псевдоним Homeland Justice, по-видимому, была мотивирована попыткой иранского режима убедить Албанию не предоставлять убежище членам иранской оппозиционной группы Mojahedin-e-Khalq, базирующейся там.

С началом войны в Иране хакеры "Хандалы", возможно, были частично перенаправлены на разведывательную работу: эта группа была одной из трех иранских хакерских групп, которые, по данным Check Point, пытались использовать уязвимости в гражданских подключенных к интернету камерах видеонаблюдения на Ближнем Востоке. Эти попытки взлома камер тесно совпали по времени с авиаударами США и Израиля по Ирану и географически совпали с контратаками Ирана в таких странах, как Бахрейн, Объединенные Арабские Эмираты, Израиль и даже Кипр.

Но пока взлом базирующейся в Мичигане компании Stryker может стать самой масштабной операцией "Хандалы" на сегодняшний день.

Скорее всего, считает Шикевич из Check Point, Handala взломала Stryker просто потому, что могла. "Я не уверен, что у них был какой-то план, — говорит он. — Вероятно, они нашли возможность, и теперь это для них большая победа".

В условиях затянувшейся войны в Иране, "Хандала", похоже, пытается найти все возможные рычаги для того, чтобы посеять еще больший хаос, часто объявляя в своих публичных сообщениях или новостях "суровое предупреждение", которое "встряхнет кибермир".

Напомним, ранее стало известно, что хакеры, связанные с российскими спецслужбами, совершили масштабную атаку на пользователей мессенджера Signal и получили доступ к тысячам аккаунтов.

Также хакеры получили доступ к секретной информации об испытаниях оружия Китаем.