Іранська проксі-група Handala Hack Team, яку дослідники пов’язують з Міністерством розвідки та безпеки Ірану (MOIS), заявила про злам особистої електронної пошти колишнього високопосадовця ФБР Кеша Пателя та публікацію архіву його листування. Інцидент демонструє зростаючу агресивність і технологічну зрілість іранських кіберакторів, що поєднують політично мотивований хактивізм з методиками організованого кіберзлочину.
Злам особистої пошти представника ФБР: характер витоку та ризики
ФБР підтвердило, що персональний поштовий акаунт Пателя став ціллю атакуючих. За даними відомства, викрадені й опубліковані листи мають «історичний характер» і датуються приблизно 2010–2019 роками, не містячи службової чи секретної інформації уряду США. Разом із тим, бюро заявило про вжиті кроки для мінімізації можливих наслідків та унеможливлення подальшого зловживання скомпрометованими даними.
З позиції кібербезпеки прицільні атаки на приватні акаунти високопосадовців — типова тактика державно підтримуваних угруповань. Навіть коли вміст не пов’язаний безпосередньо з державною таємницею, подібні масиви персональної інформації можуть стати базою для соціальної інженерії, таргетованого фішингу та наступних атак на контакти жертви.
Handala Hack Team та MOIS: хактивістська «персона» і багаторівнева інфраструктура
Аналітики кібербезпеки описують Handala Hack Team як проіранську та пропалестинську хактивістську персону, тісно пов’язану з MOIS. Це саме угруповання відстежується під різними назвами: Banished Kitten, Cobalt Mystique, Red Sandstorm, Void Manticore. З 2022 року ті ж оператори діють також під брендом Homeland Justice, фокусуючись, зокрема, на організаціях в Албанії.
Згідно з дослідженнями StealthMole, присутність Handala в інтернеті виходить далеко за межі месенджерів чи кримінальних форумів. Група експлуатує багаторівневу інфраструктуру, поєднуючи публічні домени, приховані сервіси в мережі Tor та зовнішні файлові сховища на кшталт MEGA для розміщення викрадених масивів даних та пропагандистських матеріалів.
Тактики іранських хакерів: VPN-брутфорс, RDP та руйнівні вайпер-атаки
Первинний доступ через VPN і компрометацію облікових записів
За даними Check Point, Handala Hack Team системно атакує IT-компанії та сервісних провайдерів, щоб через них виходити на інфраструктуру кінцевих клієнтів. Ключовий вектор первинного доступу — скомпрометовані VPN-акаунти, отримані шляхом фішингу або через брутфорс (масовий підбір паролів). Фіксуються сотні спроб авторизації та грубої сили по VPN-шлюзах різних організацій, що корелюють з інфраструктурою Handala.
Латеральний рух і знищення даних за допомогою вайперів
Після закріплення у мережі зловмисники активно використовують RDP (Remote Desktop Protocol) для латерального переміщення між хостами. Для нанесення максимальних збитків вони застосовують спеціалізовані вайпер-штами — зокрема Handala Wiper та Handala PowerShell Wiper. Через скрипти входу Group Policy ці інструменти масово запускаються на робочих станціях і безповоротно стирають дані.
Додатково оператори Handala залучають легітимні засоби шифрування дисків, такі як VeraCrypt. Це ускладнює відновлення систем і створює враження класичної атаки програм-вимагачів, хоча основний мотив у даному випадку — саботаж, руйнування інфраструктури та психологічний тиск, а не отримання викупу.
Атака на Stryker: перший підтверджений вайпер-прорив у Fortune 500
На тлі загострення напруженості між США, Ізраїлем та Іраном Handala Hack Team взяла на себе відповідальність за масштабну атаку на Stryker — великого постачальника медичного обладнання з переліку Fortune 500. За заявами групи, було знищено значні обсяги корпоративних даних і виведено з ладу «тисячі» пристроїв співробітників.
Компанія Stryker підтвердила інцидент, уточнивши, що він був локалізований у їхньому внутрішньому середовищі Microsoft. Організація заявила про оперативне відновлення доступу та видалення механізмів персистентності зловмисників. Примітно, що використаний шкідливий файл не мав здатності до самостійного розповсюдження, що вказує на ручне або напівавтоматизоване керування атакою.
За оцінкою Unit 42 (Palo Alto Networks), основними векторами проникнення могли стати фішинг, компрометація ідентичностей та зловживання адміністративними правами в Microsoft Intune. Паралельно Hudson Rock зафіксувала скомпрометовані облікові дані, пов’язані з екосистемою Microsoft, викрадені інфостілерами та, ймовірно, використані в цій операції.
Telegram як C2-канал та кібершпигунство проти опозиції
ФБР повідомляє, що Handala Hack Team та інші актори, пов’язані з MOIS, активно застосовують соціальну інженерію в месенджерах для поширення шкідливого ПЗ під виглядом легальних додатків (Pictory, KeePass, Telegram, WhatsApp). Модифіковані версії програм містять перший етап малварі, який забезпечує постійний віддалений доступ через Telegram-бота.
Використання Telegram як command-and-control (C2) каналу дозволяє маскувати шкідливий трафік серед законної активності. На скомпрометованих пристроях виявляли можливості прихованого запису аудіо та екрана, зокрема під час сесій Zoom. Це робить такі атаки дієвим інструментом кібершпигунства й дискредитації опозиційних активістів, журналістів та дисидентів.
Операції США проти інфраструктури MOIS і відповідь Handala
Публікація особистого листування Пателя стала реакцією Handala на судову операцію США з вилучення чотирьох доменів, які з 2022 року використовувалися MOIS для інформаційно-психологічних операцій, публікації викрадених даних і закликів до насильства проти журналістів, дисидентів та ізраїльтян.
За даними Міністерства юстиції США, через ці ресурси поширювалися персональні дані приблизно 190 осіб, пов’язаних з ЦАХАЛ та ізраїльськими структурами, а також близько 851 ГБ конфіденційної інформації членів єврейської громади. Американська влада оголосила винагороду до 10 млн доларів за відомості про учасників груп, пов’язаних з MOIS. У відповідь Handala вже запустила новий домен handala-team[.]to, заявивши, що дії США — «відчайдушна спроба заглушити голос Handala».
Децентралізація атак та зближення з кіберкримінальним підпіллям
Аналітики Flashpoint відзначають, що кіберактивність на тлі поточної геополітичної кризи стає щораз більш децентралізованою та руйнівною. Паралельно з’являються нові угруповання на кшталт Nasir Security, які атакують енергетичний сектор Близького Сходу через підрядників у сфері інженерії, безпеки та будівництва — класична модель атак на ланцюг постачання.
Іранські актори все активніше інтегрують інструменти з кримінального підпілля. Handala, наприклад, використовує стилер Rhadamanthys, тоді як MuddyWater задіює ботнет Tsundere (Dindoor) та завантажувач Fakeset для доставки CastleLoader. Це підвищує результативність атак та суттєво ускладнює атрибуцію, оскільки одні й ті самі інструменти використовують і кримінальні групи, і державні структури.
Ситуація навколо Handala Hack Team демонструє, що державні кіберактори все частіше б’ють не лише по урядових цілях, а й по приватному сектору, критичній інфраструктурі та медичних компаніях. Організаціям будь-якого масштабу варто переглянути свої моделі загроз: жорстко обмежити адміністративні повноваження, впровадити стійку до фішингу багатофакторну автентифікацію, активувати багатоадмінне погодження критичних дій в Intune та інших системах управління, посилити моніторинг VPN-доступу й аномальної RDP-активності. Не менш важливі регулярне навчання персоналу, відпрацювання сценаріїв реагування на інциденти та періодичний аудит облікових записів. Саме ці кроки сьогодні стають ключовою умовою кіберстійкості перед новими хвилями іранських та інших державно підтримуваних кібератак.
