Після недавньої ескалації військового конфлікту кіберможливості Ірану перейшли у нову фазу. Раніше маловідома група хакерів, відома як «Хандала», взяла на себе відповідальність за масштабне зламування Stryker, американської компанії, що займається медичними технологіями, паралізувавши її глобальну діяльність. Ця атака стала першою великою кібератакою з боку Ірану у відповідь на авіаудари країною, що свідчить про перехід до деструктивної кібервійни.
Від хактивізму до спонсорованого державою хаосу
“Хандала”, названа на честь культового палестинського персонажа мультфільмів, історично діяла в тіні, спочатку не привертаючи особливої уваги у спільноті кібербезпеки. Проте, експерти тепер вважають, що група функціонує як прикриття для Міністерства розвідки Ірану (MOIS). Вони поєднують хактивістську риторику з деструктивними можливостями, використовуючи політичну напруженість заподіяти шкоди противникам. Раніше група націлювалася на Албанію, Ізраїль та інші організації, часто публікуючи вкрадені дані або розгортаючи зловмисне програмне забезпечення.
Ескалація під тиском
У міру того, як Іран стикається з зростаючим військовим тиском, його хакери, особливо «Хандала», ймовірно, діють із підвищеною терміновістю та ширшими повноваженнями. Сергій Шайкевич із Check Point зазначає, що група «цілком залучена», використовуючи існуючі точки доступу в мережі для проведення деструктивних атак. «Хандала» стала «головною особою» кібермісті Ірану, заявивши про більш ніж дюжину жертв від початку недавнього конфлікту.
Стратегічна невизначеність
Хоча «Хандала» заявляє про значні перемоги, фахівці з безпеки застерігають від переоцінки їхньої стратегічної глибини. Рафе Піллінг із Sophos X-Ops припускає, що група, швидше за все, використовує можливості в міру їхнього виникнення, а не реалізує ретельно сплановану кампанію. Цей опортуністичний підхід включає швидкий доступ і максимальні збитки, з акцентом на цілі в Ізраїлі та США, щоб продемонструвати дії у відповідь.
Еволюція та тактика
З’явившись наприкінці 2023 року після нападів ХАМАС на Ізраїль, «Хандала» спочатку позиціонувала себе як пропалестинську хактивістську групу. Проте їхні дії відповідають інтересам Ірану. Вони просувають атаки в Telegram і X, використовуючи Starlink для обходу цензури, і використовують психологічну війну за допомогою операцій «злом та витік». Група також використовувала деструктивні шкідливі програми, у тому числі Coolwipe, Chillwipe та Bibiwiper, щоб завдати «реального операційного болю».
Більш широке державне спонсорство
Check Point пов’язала «Хандалу» з більшою спонсорованою державою хакерською мережею, відомою як Void Manticore, яка діяла під безліччю псевдонімів, включаючи Red Sandstorm та Cobalt Mystique. Раніше ця група була пов’язана з атаками на Албанію в 2022 році, мотивованими зусиллями іранського режиму видалення опозиційних груп з країни. Після війни в Газі Void Manticore створила «Хандалу» для націлення ізраїльських організацій під виглядом пропалестинського активізму.
Злом Stryker
Остання операція «Хандали», злом Stryker, можливо, стала найруйнівнішою з усіх. Група стверджує, що атака була помстою через зв’язок компанії з Ізраїлем, включаючи поглинання та контракти з американськими військовими. Хоча справжня мотивація залишається незрозумілою, Шайкевич припускає, що «Хандала» скористалася можливістю, а не виконала прорахований план.
** Зрештою, агресивна тактика «Хандали» відображає готовність Ірану до ескалації кібервійни як засіб відплати. Хаотичний, але руйнівний підхід групи становить серйозну загрозу західній інфраструктурі, особливо в контексті військового конфлікту.
