Nach der jüngsten Eskalation des militärischen Konflikts sind die Cyberfähigkeiten Irans in eine neue Phase eingetreten. Eine bisher unbekannte Hackergruppe namens „Handala“ hat die Verantwortung für einen groß angelegten Verstoß gegen Stryker, ein in den USA ansässiges Medizintechnikunternehmen, übernommen, das dessen weltweite Aktivitäten lahmgelegt hat. Dieser Angriff ist die erste große Cyber-Offensive des Iran als Reaktion auf Luftangriffe auf das Land und signalisiert einen Wandel hin zu disruptiver Cyber-Kriegsführung.
Vom Hacktivismus zum staatlich geförderten Chaos
Handala, benannt nach der berühmten palästinensischen Zeichentrickfigur, agierte in der Vergangenheit im Verborgenen und erlangte in der Cybersicherheitsgemeinschaft zunächst wenig Anerkennung. Allerdings gehen Experten inzwischen davon aus, dass die Gruppe als Tarnung für das iranische Geheimdienstministerium (MOIS) fungiert. Sie verbinden hacktivistische Rhetorik mit destruktiven Fähigkeiten und nutzen politische Spannungen aus, um Gegnern Schaden zuzufügen. Die Gruppe hat zuvor Albanien, Israel und andere Unternehmen ins Visier genommen und dabei häufig gestohlene Daten veröffentlicht oder Wiper-Malware eingesetzt.
Eskalation unter Druck
Da der Iran einem wachsenden militärischen Druck ausgesetzt ist, werden seine Hacker, insbesondere Handala, wahrscheinlich mit größerer Dringlichkeit und umfassenderer Genehmigung agieren. Sergey Shykevich von Check Point stellt fest, dass die Gruppe „all in“ ist und bestehende Netzwerkstützpunkte ausnutzt, um destruktive Angriffe durchzuführen. Handala ist zum „Hauptgesicht“ der iranischen Cyber-Vergeltungsmaßnahmen geworden und hat seit dem jüngsten Ausbruch des Konflikts über ein Dutzend Opfer gefordert.
Strategische Unsicherheit
Während Handala bedeutende Erfolge verbuchen kann, warnen Sicherheitsforscher davor, ihre strategische Tiefe zu überschätzen. Rafe Pilling von Sophos Dieser opportunistische Ansatz beinhaltet schnellen Zugriff und maximalen Schaden und konzentriert sich auf Ziele in Israel und den USA, um Vergeltungsmaßnahmen zu demonstrieren.
Evolution und Taktik
Handala entstand Ende 2023 nach den Angriffen der Hamas auf Israel und präsentierte sich zunächst als pro-palästinensische Hacktivistengruppe. Sein Vorgehen steht jedoch im Einklang mit iranischen Interessen. Sie fördern Angriffe auf Telegram und X, nutzen Starlink, um die Zensur zu umgehen, und nutzen psychologische Kriegsführung durch Hack-and-Leak-Operationen. Die Gruppe hat auch zerstörerische Malware eingesetzt, darunter Coolwipe, Chillwipe und Bibiwiper, um „echte operative Schmerzen“ zu verursachen.
Umfassendere staatliche Förderung
Check Point hat Handala mit einem größeren staatlich geförderten Hackernetzwerk namens Void Manticore in Verbindung gebracht, das unter mehreren Pseudonymen operiert, darunter Red Sandstorm und Cobalt Mystique. Diese Gruppe wurde zuvor mit Angriffen auf Albanien im Jahr 2022 in Verbindung gebracht, die durch die Bemühungen des iranischen Regimes motiviert waren, Oppositionsgruppen aus dem Land zu vertreiben. Nach dem Krieg in Gaza gründete Void Manticore Handala, um unter dem Deckmantel pro-palästinensischen Aktivismus israelische Einheiten ins Visier zu nehmen.
Der Stryker-Verstoß
Handalas jüngste Operation, der Durchbruch bei Stryker, könnte die bislang folgenreichste sein. Die Gruppe behauptet, der Angriff sei eine Vergeltung für die Verbindungen des Unternehmens zu Israel gewesen, einschließlich Akquisitionen und US-Militärverträgen. Während die wahre Motivation unklar bleibt, vermutet Shykevich, dass Handala eine Gelegenheit genutzt hat, anstatt einen kalkulierten Plan auszuführen.
Letztendlich spiegeln Handalas aggressive Taktiken die Bereitschaft Irans wider, den Cyberkrieg als Vergeltungsmaßnahme zu eskalieren. Das chaotische, aber destruktive Vorgehen der Gruppe stellt eine erhebliche Bedrohung für die westliche Infrastruktur dar, insbesondere im Kontext des anhaltenden militärischen Konflikts.
