Іранські хакери оголосили джихад: кому і чим загрожує група "Хандала"

Одним із перших їхніх ударів став злам системи медичної технологічної компанії Stryker у США, унаслідок якого було виведено з ладу десятки тисяч комп'ютерів і паралізовано більшу частину глобальних операцій компанії. Відповідальність взяла на себе іранська хакерська група Handala, пише Wired.

"Ми заявляємо світові, що в помсту за жорстокий напад на школу в Мінабі та у відповідь на кібератаки на інфраструктуру "Осі опору", що тривають, було проведено нашу велику кібероперацію", — ідеться в заяві, опублікованій на сайті Handala, де згадують як американську ракету Tomahawk, що вбила щонайменше 165 мирних жителів у жіночій школі в Ірані, так і численні хакерські операції, проведені США та Ізраїлем у рамках атак обох країн на території Ірану. Іранські хакери заявили, що це "тільки початок нової ери кібервійни".

Навіть серед американських дослідників кібербезпеки, які уважно відстежують діяльність спонсорованих державою хакерських груп, група Handala, що отримала свою назву від відомого персонажа Хандали з політичних карикатур палестинського художника Наджі аль-Алі, дотепер практично не була відома.

Однак ті, хто стежив за розвитком цієї групи, особливо в ізраїльській індустрії кібербезпеки, кажуть, що зараз широко поширена думка, ніби вона є прикриттям для Міністерства розвідки Ірану.

Іранські хакери — що відомо про групу "Хандала"

Handala, або та сама група, що діє під більш ранніми назвами, роками проводила операції зі знищення даних, злому і витоку інформації проти цілей, починаючи від албанського уряду і закінчуючи ізраїльськими компаніями і політичними діячами.

Нині, коли іранський режим стикається з екзистенціальною загрозою, його хакерам, імовірно, доручено використати всі наявні в них інструменти і всі точки опори, які вони непомітно здобули в західних мережах, щоб протистояти США та Ізраїлю, каже Сергій Шикевич, керівник відділу досліджень загроз у тель-авівській компанії з кібербезпеки Check Point.

"Вони діють рішуче, — каже Шикевич. — Зараз вони намагаються зробити все можливе, щоб здійснити деструктивні дії".

І на його думку, Handala перетворилася на "ймовірно, найбільш домінуючу групу".

Хоча хакерські угруповання схильні перебільшувати або прикрашати свої успіхи і наслідки своєї діяльності, Handala публічно заявила про більш ніж дюжину жертв, в основному ізраїльтян, з початку війни два тижні тому. Група "поєднує галасливу, хаотичну тактику хактивістського угруповання з руйнівними можливостями національної держави", — каже Джастін Мур, дослідник загроз компанії Palo Alto Networks, називаючи Handala "основним інструментом кібер-відповіді іранського режиму", який просто зараз шукає відповідні цілі.

Дослідники в галузі безпеки вперше виявили використання бренду "Handala" наприкінці 2023 року, після терактів ХАМАС 7 жовтня проти Ізраїлю і подальших бомбардувань Гази. Коли Handala вперше з'явилася, вона мала публічний імідж "пропалестинської хактивістської" групи, але її хакерська діяльність була пов'язана з іранськими інтересами і вказувала на зв'язок із режимом. Публічно Handala активно рекламувала свої ймовірні зломи в Telegram і X-акаунтах, а також вела публічні веб-сайти, публікуючи оновлення про атаки. Крім того, вона використовувала супутниковий інтернет-зв'язок Starlink для обходу драконівських відключень інтернету в Ірані .

Handala здійснила безліч хакерських атак і витоків інформації, публікуючи дані багатьох своїх жертв в Ізраїлі як "психологічну зброю". Але група також використовувала шкідливе ПЗ для видалення файлів жертв.

Фактично, Check Point виявила, що Handala — лише одне з декількох хактивістських угруповань, які, за її даними (на основі зв'язків у шкідливому ПЗ і серверній інфраструктурі груп), являють собою єдину спонсоровану державою групу хакерів, яку вона називає Void Manticore. Check Point відстежує походження групи, пов'язаної з MOIS, яка також відома під іншими назвами в індустрії кібербезпеки, зокрема Red Sandstorm і Cobalt Mystique, ще з 2022 року. Того року Microsoft приписала кібератаки цій групі, яка атакувала албанські урядові установи за допомогою шкідливого ПЗ, що знищує дані. Група, яка тоді використовувала псевдонім Homeland Justice, мабуть, була мотивована спробою іранського режиму переконати Албанію не надавати притулок членам іранської опозиційної групи Mojahedin-e-Khalq, що базується там.

З початком війни в Ірані хакери "Хандали", можливо, були частково переспрямовані на розвідувальну роботу: ця група була однією з трьох іранських хакерських груп, які, за даними Check Point, намагалися використати вразливості в цивільних підключених до інтернету камерах відеоспостереження на Близькому Сході. Ці спроби злому камер тісно збіглися в часі з авіаударами США та Ізраїлю по Ірану і географічно збіглися з контратаками Ірану в таких країнах, як Бахрейн, Об'єднані Арабські Емірати, Ізраїль і навіть Кіпр.

Але поки злом компанії Stryker, що базується в Мічигані, може стати наймасштабнішою операцією "Хандали" на сьогодні.

Найімовірніше, вважає Шикевич із Check Point, Handala зламала Stryker просто тому, що могла. "Я не впевнений, що у них був якийсь план, — каже він. — Ймовірно, вони знайшли можливість, і тепер це для них велика перемога".

В умовах тривалої війни в Ірані, "Хандала", схоже, намагається знайти всі можливі важелі для того, щоб посіяти ще більший хаос, часто оголошуючи у своїх публічних повідомленнях або новинах "суворе попередження", яке "струсоне кіберсвіт".

Нагадаємо, раніше стало відомо, що хакери, пов'язані з російськими спецслужбами, здійснили масштабну атаку на користувачів месенджера Signal і отримали доступ до тисяч акаунтів.

Також хакери отримали доступ до секретної інформації про випробування зброї Китаєм.