W następstwie niedawnej eskalacji konfliktu zbrojnego zdolności cybernetyczne Iranu weszły w nową fazę. Mało znana wcześniej grupa hakerska znana jako Handala przyznała się do masowego ataku hakerskiego na Stryker, amerykańską firmę zajmującą się technologią medyczną, paraliżującego jej globalną działalność. Atak był pierwszym poważnym cyberatakiem Iranu w odpowiedzi na naloty w kraju, sygnalizującym zwrot w kierunku niszczycielskiej wojny cybernetycznej.
Od haktywizmu po chaos sponsorowany przez państwo
Handala, nazwana na cześć kultowej palestyńskiej postaci z kreskówek, od dawna działała w cieniu, początkowo nie przyciągając uwagi społeczności zajmującej się cyberbezpieczeństwem. Jednak eksperci uważają obecnie, że grupa ta stanowi przykrywkę dla irańskiego Ministerstwa Wywiadu (MOIS). Łączą retorykę haktywistyczną z destrukcyjnymi możliwościami, wykorzystując napięcia polityczne do krzywdzenia przeciwników. Grupa wcześniej atakowała Albanię, Izrael i inne organizacje, często publikując skradzione dane lub wdrażając złośliwe oprogramowanie typu Wiper.
Eskalacja pod presją
W miarę jak Iran stoi w obliczu rosnącej presji militarnej, jego hakerzy, zwłaszcza Khandala, prawdopodobnie będą działać ze zwiększoną pilnością i większymi uprawnieniami. Siergiej Shajkevich z Check Point zauważa, że grupa jest „w pełni zaangażowana”, wykorzystując istniejące punkty dostępu do sieci do przeprowadzania destrukcyjnych ataków. Khandala stała się „wiodącą twarzą” cyber zemsty Iranu, pociągając za sobą kilkanaście ofiar od początku niedawnego konfliktu.
Niepewność strategiczna
Choć Handala może pochwalić się znaczącymi zwycięstwami, eksperci ds. bezpieczeństwa przestrzegają przed przecenianiem ich strategicznej głębi. Rafe Pilling z Sophos X-Ops sugeruje, że grupa prawdopodobnie będzie wykorzystywać pojawiające się możliwości, zamiast przeprowadzać starannie zaplanowaną kampanię. To oportunistyczne podejście obejmuje szybki dostęp i maksymalne szkody, z naciskiem na cele w Izraelu i Stanach Zjednoczonych w celu zademonstrowania odwetu.
Ewolucja i taktyka
Powstała pod koniec 2023 r. po atakach Hamasu na Izrael Handala początkowo pozycjonowała się jako propalestyńska grupa haktywistów. Ich działania są jednak zgodne z interesami Iranu. Promują ataki na Telegram i X przy użyciu Starlink w celu ominięcia cenzury i stosowania wojny psychologicznej poprzez operacje hakerskie i wycieki. Grupa wykorzystywała także destrukcyjne złośliwe oprogramowanie, w tym Coolwipe, Chillwipe i Bibiwiper, aby wywołać „prawdziwy ból chirurgiczny”.
Szersze sponsoring rządowy
Check Point połączył Handalę z większą, sponsorowaną przez państwo siecią hakerską znaną jako Void Manticore, która działała pod różnymi pseudonimami, w tym Red Sandstorm i Cobalt Mystique. Grupę tę powiązano wcześniej z atakami na Albanię w 2022 r., motywowanymi wysiłkami reżimu irańskiego zmierzającymi do usunięcia z kraju grup opozycyjnych. Po wojnie w Gazie Void Manticore stworzyła Handalę, aby atakować organizacje izraelskie pod przykrywką aktywizmu propalestyńskiego.
Zhakuj Strykera
Najnowsza operacja Handali, włamanie do Strykera, mogła być najbardziej niszczycielska w historii. Grupa twierdzi, że atak był odwetem za powiązania firmy z Izraelem, w tym przejęcia i kontrakty z armią amerykańską. Chociaż prawdziwa motywacja pozostaje niejasna, Shaikevich sugeruje, że Handala zamiast wykonać obliczony plan, skorzystał z okazji.
Ostatecznie agresywna taktyka Khandali odzwierciedla gotowość Iranu do eskalacji wojny cybernetycznej w ramach odwetu. Chaotyczne, ale destrukcyjne podejście ugrupowania stwarza poważne zagrożenie dla zachodniej infrastruktury, szczególnie w kontekście trwającego konfliktu zbrojnego.
