Suite à la récente escalade du conflit militaire, les cybercapacités de l’Iran sont entrées dans une nouvelle phase. Un groupe de hackers auparavant obscur, connu sous le nom de « Handala », a revendiqué la responsabilité d’une violation à grande échelle de Stryker, une entreprise américaine de technologie médicale, paralysant ses opérations mondiales. Cette attaque est la première cyber-offensive majeure de l’Iran en réponse aux frappes aériennes ciblant le pays, signalant une évolution vers une cyber-guerre perturbatrice.
Du hacktivisme au chaos sponsorisé par l’État
Handala, du nom du personnage de dessin animé palestinien emblématique, a toujours opéré dans l’ombre, gagnant initialement peu de reconnaissance au sein de la communauté de la cybersécurité. Cependant, les experts estiment désormais que le groupe fonctionne comme une façade pour le ministère iranien du Renseignement (Vevak). Ils mélangent rhétorique hacktiviste et capacités destructrices, exploitant les tensions politiques pour infliger des dégâts aux adversaires. Le groupe a déjà ciblé l’Albanie, Israël et d’autres entités, publiant souvent des données volées ou déployant des logiciels malveillants d’effacement.
Escalade sous pression
Alors que l’Iran fait face à une pression militaire croissante, ses pirates informatiques, en particulier Handala, opèrent probablement avec une urgence accrue et des autorisations plus larges. Sergey Shykevich de Check Point note que le groupe est « à fond », exploitant les points d’ancrage du réseau existant pour mener des attaques destructrices. Handala est devenu le « visage principal » des cyber-représailles iraniennes, faisant plus d’une douzaine de victimes depuis le récent déclenchement du conflit.
Incertitude stratégique
Alors que Handala revendique des victoires significatives, les chercheurs en sécurité mettent en garde contre une surestimation de leur profondeur stratégique. Rafe Pilling de Sophos X-Ops suggère que le groupe exploite probablement les opportunités à mesure qu’elles se présentent plutôt que d’exécuter une campagne méticuleusement planifiée. Cette approche opportuniste implique un accès rapide et un maximum de dégâts, en se concentrant sur des cibles en Israël et aux États-Unis pour démontrer des actions de représailles.
Évolution et tactiques
Apparu fin 2023 à la suite des attaques du Hamas contre Israël, Handala se présentait initialement comme un groupe hacktiviste pro-palestinien. Cependant, ses actions correspondent aux intérêts iraniens. Ils promeuvent les attaques contre Telegram et X, en utilisant Starlink pour contourner la censure et en tirant parti de la guerre psychologique par le biais d’opérations de piratage et de fuite. Le groupe a également utilisé des logiciels malveillants destructeurs, notamment Coolwipe, Chillwipe et Bibiwiper, pour infliger de « réelles difficultés opérationnelles ».
Parrainage étatique plus large
Check Point a lié Handala à un plus grand réseau de piratage parrainé par l’État, connu sous le nom de Void Manticore, qui opérait sous plusieurs pseudonymes, notamment Red Sandstorm et Cobalt Mystique. Ce groupe était auparavant lié aux attaques contre l’Albanie en 2022, motivées par les efforts du régime iranien pour expulser les groupes d’opposition du pays. Suite à la guerre à Gaza, Void Manticore a créé Handala pour cibler les entités israéliennes sous couvert d’activisme pro-palestinien.
La brèche Stryker
La dernière opération de Handala, la brèche dans Stryker, pourrait bien être la plus marquante à ce jour. Le groupe affirme que l’attaque était une mesure de représailles contre les liens de l’entreprise avec Israël, notamment ses acquisitions et ses contrats militaires américains. Même si la véritable motivation reste floue, Shykevich suggère que Handala a exploité une opportunité plutôt que d’exécuter un plan calculé.
En fin de compte, les tactiques agressives de Handala reflètent la volonté de l’Iran d’intensifier la cyberguerre comme moyen de représailles. L’approche chaotique mais destructrice du groupe constitue une menace importante pour les infrastructures occidentales, en particulier dans le contexte du conflit militaire en cours.
