После недавней эскалации военного конфликта кибервозможности Ирана перешли в новую фазу. Ранее малоизвестная хакерская группа, известная как «Хандала», взяла на себя ответственность за масштабное взломание Stryker, американской компании, занимающейся медицинскими технологиями, парализовав её глобальную деятельность. Эта атака стала первой крупной кибератакой со стороны Ирана в ответ на авиаудары по стране, что свидетельствует о переходе к деструктивной кибервойне.
От хактивизма к спонсируемому государством хаосу
«Хандала», названная в честь культового палестинского персонажа мультфильмов, исторически действовала в тени, изначально не привлекая особого внимания в сообществе кибербезопасности. Однако эксперты теперь полагают, что группа функционирует как прикрытие для Министерства разведки Ирана (MOIS). Они сочетают хактивистскую риторику с деструктивными возможностями, используя политическую напряжённость для нанесения ущерба противникам. Ранее группа нацеливалась на Албанию, Израиль и другие организации, часто публикуя украденные данные или развёртывая вайпер-вредоносное ПО.
Эскалация под давлением
По мере того, как Иран сталкивается с растущим военным давлением, его хакеры, особенно «Хандала», вероятно, действуют с повышенной срочностью и более широкими полномочиями. Сергей Шайкевич из Check Point отмечает, что группа «полностью вовлечена», используя существующие точки доступа в сети для проведения деструктивных атак. «Хандала» стала «главным лицом» кибермести Ирана, заявив о более чем дюжине жертв с начала недавнего конфликта.
Стратегическая неопределённость
Хотя «Хандала» заявляет о значительных победах, специалисты по безопасности предостерегают от переоценки их стратегической глубины. Рафе Пилллинг из Sophos X-Ops предполагает, что группа, скорее всего, использует возможности по мере их возникновения, а не реализует тщательно спланированную кампанию. Этот оппортунистический подход включает быстрый доступ и максимальный ущерб, с акцентом на цели в Израиле и США, чтобы продемонстрировать ответные действия.
Эволюция и тактика
Появившись в конце 2023 года после нападений ХАМАС на Израиль, «Хандала» первоначально позиционировала себя как про-палестинскую хактивистскую группу. Однако их действия соответствуют интересам Ирана. Они продвигают атаки в Telegram и X, используя Starlink для обхода цензуры, и используют психологическую войну посредством операций «взлом и утечка». Группа также использовала деструктивные вредоносные программы, в том числе Coolwipe, Chillwipe и Bibiwiper, чтобы нанести «реальную операционную боль».
Более широкое государственное спонсорство
Check Point связала «Хандалу» с более крупной спонсируемой государством хакерской сетью, известной как Void Manticore, которая действовала под множеством псевдонимов, включая Red Sandstorm и Cobalt Mystique. Ранее эта группа была связана с атаками на Албанию в 2022 году, мотивированными усилиями иранского режима по удалению оппозиционных групп из страны. После войны в Газе Void Manticore создала «Хандалу» для таргетинга израильских организаций под видом про-палестинского активизма.
Взлом Stryker
Последняя операция «Хандалы», взлом Stryker, возможно, стала самой разрушительной из всех. Группа утверждает, что атака была местью за связи компании с Израилем, включая поглощения и контракты с американскими военными. Хотя истинная мотивация остаётся неясной, Шайкевич предполагает, что «Хандала» воспользовалась возможностью, а не выполнила просчитанный план.
В конечном итоге, агрессивная тактика «Хандалы» отражает готовность Ирана к эскалации кибервойны в качестве средства возмездия. Хаотичный, но разрушительный подход группы представляет серьёзную угрозу западной инфраструктуре, особенно в контексте продолжающегося военного конфликта.
