Após a recente escalada do conflito militar, as capacidades cibernéticas do Irão entraram numa nova fase. Um grupo de hackers anteriormente obscuro conhecido como “Handala” assumiu a responsabilidade por uma violação em grande escala da Stryker, uma empresa de tecnologia médica com sede nos EUA, paralisando as suas operações globais. Este ataque é a primeira grande ofensiva cibernética do Irão em resposta a ataques aéreos contra o país, sinalizando uma mudança para uma guerra cibernética disruptiva.
Do hacktivismo ao caos patrocinado pelo Estado
Handala, que leva o nome do icônico personagem de desenho animado palestino, historicamente operou nas sombras, ganhando inicialmente pouco reconhecimento dentro da comunidade de segurança cibernética. No entanto, os especialistas acreditam agora que o grupo funciona como uma fachada para o Ministério da Inteligência do Irão (MOIS). Combinam a retórica hacktivista com capacidades destrutivas, explorando as tensões políticas para infligir danos aos adversários. O grupo já tinha como alvo a Albânia, Israel e outras entidades, muitas vezes publicando dados roubados ou implantando malware de limpeza.
Escalada sob pressão
À medida que o Irão enfrenta uma pressão militar crescente, os seus hackers, especialmente Handala, estão provavelmente a operar com maior urgência e autorização mais ampla. Sergey Shykevich, da Check Point, observa que o grupo está “all in”, explorando pontos de apoio existentes na rede para realizar ataques destrutivos. Handala tornou-se a “face principal” da retaliação cibernética iraniana, ceifando mais de uma dúzia de vítimas desde o recente início do conflito.
Incerteza Estratégica
Embora Handala reivindique vitórias significativas, os investigadores de segurança alertam contra a sobrestimação da sua profundidade estratégica. Rafe Pilling, da Sophos X-Ops, sugere que o grupo provavelmente está explorando as oportunidades à medida que elas surgem, em vez de executar uma campanha meticulosamente planejada. Esta abordagem oportunista envolve acesso rápido e danos máximos, concentrando-se em alvos em Israel e nos EUA para demonstrar ações retaliatórias.
Evolução e Táticas
Surgindo no final de 2023, após os ataques do Hamas a Israel, o Handala apresentou-se inicialmente como um grupo hacktivista pró-palestiniano. No entanto, as suas ações estão alinhadas com os interesses iranianos. Eles promovem ataques ao Telegram e ao X, usando o Starlink para contornar a censura e alavancar a guerra psicológica por meio de operações de hack-and-leak. O grupo também usou malware destrutivo, incluindo Coolwipe, Chillwipe e Bibiwiper, para infligir “verdadeira dor operacional”.
Patrocínio estatal mais amplo
A Check Point vinculou Handala a uma rede de hackers maior patrocinada pelo estado, conhecida como Void Manticore, que operou sob vários pseudônimos, incluindo Red Sandstorm e Cobalt Mystique. Este grupo esteve anteriormente ligado a ataques à Albânia em 2022, motivados pelos esforços do regime iraniano para remover grupos de oposição do país. Após a guerra em Gaza, a Void Manticore criou o Handala para atingir entidades israelenses sob o pretexto de ativismo pró-palestiniano.
A violação do Stryker
A mais recente operação de Handala, a violação do Stryker, pode ser a mais impactante até agora. O grupo afirma que o ataque foi uma retaliação pelos laços da empresa com Israel, incluindo aquisições e contratos militares dos EUA. Embora a verdadeira motivação permaneça obscura, Shykevich sugere que Handala explorou uma oportunidade em vez de executar um plano calculado.
Em última análise, as tácticas agressivas de Handala reflectem a vontade do Irão de intensificar a guerra cibernética como forma de retaliação. A abordagem caótica mas destrutiva do grupo representa uma ameaça significativa às infra-estruturas ocidentais, particularmente no contexto do conflito militar em curso.
