Na recente escalaties van het militaire conflict zijn de cybercapaciteiten van Iran een nieuwe fase ingegaan. Een voorheen obscure hackgroep, bekend als ‘Handala’, heeft de verantwoordelijkheid opgeëist voor een grootschalige inbreuk op Stryker, een in de VS gevestigd medisch technologiebedrijf, dat zijn wereldwijde activiteiten verlamt. Deze aanval is het eerste grote cyberoffensief van Iran als reactie op luchtaanvallen op het land, wat een verschuiving naar ontwrichtende cyberoorlogsvoering aangeeft.
Van hacktivisme naar door de staat gesponsorde chaos
Handala, vernoemd naar het iconische Palestijnse stripfiguur, opereerde historisch gezien in de schaduw en kreeg aanvankelijk weinig erkenning binnen de cyberbeveiligingsgemeenschap. Deskundigen geloven nu echter dat de groep fungeert als front voor het Iraanse Ministerie van Inlichtingen (MOIS). Ze combineren hacktivistische retoriek met destructieve capaciteiten, waarbij ze politieke spanningen uitbuiten om schade toe te brengen aan tegenstanders. De groep heeft zich eerder gericht op Albanië, Israël en andere entiteiten, waarbij ze vaak gestolen gegevens publiceren of wiper-malware inzetten.
Escalatie onder druk
Nu Iran te maken krijgt met toenemende militaire druk, opereren zijn hackers, vooral Handala, waarschijnlijk met grotere urgentie en bredere bevoegdheden. Sergey Shykevich van Check Point merkt op dat de groep ‘all-in’ is en bestaande netwerkbasissen exploiteert om destructieve aanvallen uit te voeren. Handala is het ‘belangrijkste gezicht’ geworden van de Iraanse cybervergelding en heeft sinds het recente uitbreken van het conflict ruim een dozijn slachtoffers geëist.
Strategische onzekerheid
Terwijl Handala aanzienlijke overwinningen boekt, waarschuwen veiligheidsonderzoekers voor het overschatten van de strategische diepgang ervan. Rafe Pilling van Sophos X-Ops suggereert dat de groep waarschijnlijk kansen benut zodra deze zich voordoen, in plaats van een zorgvuldig geplande campagne uit te voeren. Deze opportunistische aanpak impliceert snelle toegang en maximale schade, waarbij de nadruk ligt op doelen in Israël en de VS om vergeldingsacties te demonstreren.
Evolutie en tactiek
Handala ontstond eind 2023 na de aanvallen van Hamas op Israël en presenteerde zichzelf aanvankelijk als een pro-Palestijnse hacktivistische groepering. Haar acties zijn echter in lijn met de Iraanse belangen. Ze promoten aanvallen op Telegram en X, gebruiken Starlink om censuur te omzeilen en maken gebruik van psychologische oorlogsvoering via hack-en-lek-operaties. De groep heeft ook destructieve malware gebruikt, waaronder Coolwipe, Chillwipe en Bibiwiper, om ‘echte operationele pijn’ te veroorzaken.
Bredere staatssponsoring
Check Point heeft Handala gekoppeld aan een groter, door de staat gesponsord hacknetwerk, bekend als Void Manticore, dat opereerde onder meerdere aliassen, waaronder Red Sandstorm en Cobalt Mystique. Deze groep werd eerder in verband gebracht met aanvallen op Albanië in 2022, ingegeven door de pogingen van het Iraanse regime om oppositiegroepen uit het land te verwijderen. Na de oorlog in Gaza creëerde Void Manticore Handala om Israëlische entiteiten aan te vallen onder het mom van pro-Palestijns activisme.
De Stryker-breuk
De nieuwste operatie van Handala, de inbreuk op Stryker, is misschien wel de meest impactvolle tot nu toe. De groep beweert dat de aanval een vergelding was voor de banden van het bedrijf met Israël, inclusief overnames en Amerikaanse militaire contracten. Hoewel de ware motivatie onduidelijk blijft, suggereert Shykevich dat Handala een kans heeft benut in plaats van een berekend plan uit te voeren.
Uiteindelijk weerspiegelen de agressieve tactieken van Handala de bereidheid van Iran om de cyberoorlog te escaleren als vergeldingsmiddel. De chaotische maar destructieve aanpak van de groep vormt een aanzienlijke bedreiging voor de westerse infrastructuur, vooral in de context van aanhoudende militaire conflicten.
