A seguito della recente escalation del conflitto militare, le capacità informatiche dell’Iran sono entrate in una nuova fase. Un gruppo di hacker precedentemente oscuro noto come “Handala” ha rivendicato la responsabilità di una violazione su larga scala di Stryker, un’azienda di tecnologia medica con sede negli Stati Uniti, paralizzandone le operazioni globali. Questo attacco è la prima grande offensiva informatica dell’Iran in risposta agli attacchi aerei contro il paese, segnalando uno spostamento verso una guerra informatica dirompente.
Dall’hacktivismo al caos sponsorizzato dallo Stato
Handala, che prende il nome dall’iconico personaggio dei cartoni animati palestinese, ha storicamente operato nell’ombra, ottenendo inizialmente scarso riconoscimento all’interno della comunità della sicurezza informatica. Tuttavia, gli esperti ora ritengono che il gruppo funzioni come copertura per il Ministero dell’Intelligence iraniano (MOIS). Uniscono la retorica hacktivista con capacità distruttive, sfruttando le tensioni politiche per infliggere danni agli avversari. Il gruppo ha già preso di mira Albania, Israele e altre entità, spesso pubblicando dati rubati o distribuendo malware wiper.
Escalation sotto pressione
Mentre l’Iran si trova ad affrontare una crescente pressione militare, i suoi hacker, in particolare Handala, probabilmente stanno operando con maggiore urgenza e con una più ampia autorizzazione. Sergey Shykevich di Check Point osserva che il gruppo è “all in”, sfruttando i punti d’appoggio della rete esistente per effettuare attacchi distruttivi. Handala è diventata il “volto principale” della ritorsione informatica iraniana, mietendo oltre una dozzina di vittime dal recente scoppio del conflitto.
Incertezza strategica
Mentre Handala vanta vittorie significative, i ricercatori in materia di sicurezza mettono in guardia dal sopravvalutare la loro profondità strategica. Rafe Pilling di Sophos X-Ops suggerisce che il gruppo probabilmente sta sfruttando le opportunità non appena si presentano anziché eseguire una campagna meticolosamente pianificata. Questo approccio opportunistico comporta un accesso rapido e il massimo danno, concentrandosi su obiettivi in Israele e negli Stati Uniti per dimostrare un’azione di ritorsione.
Evoluzione e tattica
Emerso alla fine del 2023 in seguito agli attacchi di Hamas contro Israele, Handala si presentò inizialmente come un gruppo di hacktivisti filo-palestinesi. Tuttavia, le sue azioni sono in linea con gli interessi iraniani. Promuovono attacchi a Telegram e X, utilizzando Starlink per aggirare la censura e sfruttando la guerra psicologica attraverso operazioni di hacking-and-leak. Il gruppo ha anche utilizzato malware distruttivi, tra cui Coolwipe, Chillwipe e Bibiwiper, per infliggere “vero dolore operativo”.
Sponsorizzazione statale più ampia
Check Point ha collegato Handala a una più ampia rete di hacking sponsorizzata dallo stato conosciuta come Void Manticore, che ha operato sotto molteplici alias, tra cui Red Sandstorm e Cobalt Mystique. Questo gruppo era stato precedentemente collegato agli attacchi contro l’Albania nel 2022, motivati dagli sforzi del regime iraniano di rimuovere i gruppi di opposizione dal paese. Dopo la guerra a Gaza, Void Manticore creò Handala per prendere di mira entità israeliane con il pretesto di attivismo filo-palestinese.
La breccia di Stryker
L’ultima operazione di Handala, la violazione di Stryker, potrebbe essere quella di maggior impatto finora. Il gruppo sostiene che l’attacco sia stata una ritorsione per i legami della società con Israele, comprese acquisizioni e contratti militari statunitensi. Anche se la vera motivazione rimane poco chiara, Shykevich suggerisce che Handala abbia sfruttato un’opportunità piuttosto che eseguire un piano calcolato.
In definitiva, le tattiche aggressive di Handala riflettono la volontà dell’Iran di intensificare la guerra informatica come mezzo di ritorsione. L’approccio caotico ma distruttivo del gruppo rappresenta una minaccia significativa per le infrastrutture occidentali, in particolare nel contesto del conflitto militare in corso.
