Иранская прокси-группировка Handala Hack Team, связанная с Министерством разведки и безопасности Ирана (MOIS), заявила о взломе личного почтового ящика директора ФБР Кэша Пателя и публикации архива его переписки и файлов. Инцидент подчеркивает растущую агрессивность и технологическую зрелость иранских кибероператоров, сочетающих политически мотивированный хактивизм с методами киберкриминала.
Взлом личной почты директора ФБР: характер утечки и реакция властей
ФБР подтвердило, что персональная электронная почта Пателя стала целью атаки. По данным ведомства, опубликованные материалы носят «исторический характер», относятся к периоду примерно с 2010 по 2019 годы и не содержат служебной или секретной информации правительства США. При этом ФБР заявило, что приняло меры для снижения потенциальных рисков и предотвращения дальнейшего использования скомпрометированных данных.
С точки зрения кибербезопасности, целевая компрометация частных аккаунтов высокопоставленных чиновников — типичная тактика государственно поддерживаемых групп. Даже если данные не связаны напрямую с госслужбой, они могут использоваться для социальной инженерии, выстраивания более правдоподобных фишинговых кампаний и атак на контакты жертвы.
Кто такие Handala Hack: структура, персоны и инфраструктура
Исследователи кибербезопасности связывают Handala Hack с MOIS и описывают ее как проиранскую и пропалестинскую хактивистскую персону. Группа отслеживается под разными кодовыми именами, включая Banished Kitten, Cobalt Mystique, Red Sandstorm и Void Manticore. С 2022 года те же операторы также активны под брендом Homeland Justice, нацеленным, в частности, на организации в Албании.
По данным StealthMole, онлайн-присутствие Handala выходит далеко за рамки мессенджеров и криминальных форумов. Группа использует многоуровневую инфраструктуру: домены в открытом интернете, скрытые сервисы в Tor и внешние файловые хостинги вроде MEGA для размещения украденных данных и пропагандистских материалов.
Тактика Handala Hack: VPN-брутфорс, RDP и вайперы
Получение доступа: атаки на VPN и учетные записи
Исследование Check Point показывает, что Handala систематически атакует IT-компании и провайдеров услуг, стремясь получить учетные данные для дальнейшего проникновения к их клиентам. Основной вектор первичного доступа — компрометированные VPN-аккаунты, добытые либо через фишинг, либо с помощью брутфорса (массового перебора паролей). За последние месяцы зафиксированы сотни попыток входа и грубой силы по VPN-инфраструктуре разных организаций, связываемых с инфраструктурой Handala.
Латеральное перемещение и разрушение инфраструктуры
После закрепления в сети злоумышленники используют RDP (удаленный рабочий стол Windows) для латерального перемещения и распространения по инфраструктуре. Для нанесения максимального ущерба применяются специализированные вайпер-штаммы (Handala Wiper, Handala PowerShell Wiper), которые через групповые политики (Group Policy logon scripts) массово запускаются на машинах жертв и безвозвратно стирают данные.
Дополнительно злоумышленники прибегают к законным инструментам шифрования дисков, таким как VeraCrypt. Это усложняет восстановление систем и создает видимость классической атаки с шифровальщиком, хотя основной мотив Handala — не выкуп, а разрушение и психологическое давление.
Атака на Stryker: первый подтвержденный вайпер-прорыв в Fortune 500
На фоне обострения конфликта США–Израиль–Иран Handala Hack взяла на себя ответственность за масштабную атаку на Stryker — крупного поставщика медицинского оборудования и сервисов (компания из индекса Fortune 500). По заявлениям группы, были уничтожены большие объемы корпоративных данных и «тысячи» устройств сотрудников.
Stryker подтвердила инцидент, указав, что он был локализован в их внутренней Microsoft-среде. Компания заявила, что быстро восстановила доступ к системам и устранила механизмы персистентности злоумышленников. Интересная деталь: для сокрытия действий применялся специальный вредоносный файл, однако он не обладал способностью к самостоятельному распространению внутри сети, что указывает на ручное или полуавтоматическое управление атакой.
Unit 42 (Palo Alto Networks) предполагает, что ключевыми векторами стали компрометация идентичностей через фишинг и злоупотребление административным доступом в Microsoft Intune. Параллельно Hudson Rock обнаружила скомпрометированные учетные данные, связанные с инфраструктурой Microsoft, похищенные инфостилерами и, вероятно, использованные при атаке.
Использование Telegram и кибершпионаж против оппозиции
По данным ФБР, Handala Hack и другие MOIS-связанные акторы применяют социальную инженерию в мессенджерах для распространения вредоносного ПО под видом легитимных программ (Pictory, KeePass, Telegram, WhatsApp). Зараженные версии содержат первый этап малвари, которая устанавливает постоянный удаленный доступ через Telegram-бота.
Использование Telegram как C2-канала (command-and-control) позволяет злоумышленникам маскировать вредоносный трафик среди легитимной сетевой активности. Обнаруженные артефакты на скомпрометированных устройствах также включали функции записи аудио и экрана, особенно во время сессий Zoom, что делает такие атаки эффективным инструментом шпионажа и дискредитации оппозиционных активистов, журналистов и диссидентов.
Зачистка и ответ США: конфискация доменов и вознаграждение
Утечка личной переписки Пателя стала ответом Handala на судебную операцию США по изъятию четырех доменов, которые с 2022 года использовались MOIS для психологических операций, публикации украденных данных и призывов к насилию против журналистов, диссидентов и израильтян. Министерство юстиции США отмечает, что на этих ресурсах публиковались данные примерно 190 связанных с ЦАХАЛ и израильскими госструктурами лиц, а также 851 ГБ конфиденциальной информации членов еврейской общины.
Власти США объявили вознаграждение до 10 млн долларов за информацию о членах групп, связанных с MOIS. В ответ Handala уже развернула новый домен handala-team[.]to, назвав действия США «отчаянной попыткой заглушить голос Handala».
Рост децентрализованных атак и интеграция с киберкриминалом
По оценке аналитиков Flashpoint, киберактивность, связанная с текущим геополитическим конфликтом, становится все более децентрализованной и разрушительной. Параллельно появляются новые группы, такие как Nasir Security, атакующие энергетический сектор Ближнего Востока через подрядчиков в области инженерии, безопасности и строительства — классический пример атак на цепочку поставок.
Иранские акторы все активнее используют криминальные инструменты и инфраструктуру: Handala интегрировала в операции стилер Rhadamanthys, а MuddyWater задействует ботнет Tsundere (Dindoor) и загрузчик Fakeset для доставки CastleLoader. Подобная интеграция повышает эффективность атак и одновременно усложняет атрибуцию, так как одни и те же инструменты применяются как преступными группировками, так и государственными структурами.
Ситуация вокруг Handala Hack демонстрирует, что атаки государственно поддерживаемых групп все чаще нацелены не только на государственные структуры, но и на частный сектор, критически важные поставки и медицинскую инфраструктуру. Организациям любого масштаба стоит пересмотреть свои подходы к защите: жестко ограничивать административные права, применять многофакторную аутентификацию с защитой от фишинга, включать многоадмин-подтверждение для критичных действий в Intune и других системах управления, а также усилить мониторинг VPN-доступа и аномальной активности RDP. Инвестиции в подготовку персонала, отработку сценариев реагирования на инциденты и регулярный аудит учетных записей сегодня становятся не опцией, а необходимым условием устойчивости к новым волнам кибератак.
