Il gruppo hacker Handala, collettivo hacktivista legato all’Iran, si è visto portare via due siti web dall’FBI e dal Dipartimento di Giustizia degli Stati Uniti. L’operazione è arrivata pochi giorni dopo che Handala aveva rivendicato un devastante attacco informatico contro Stryker, colosso americano della tecnologia medicale con oltre 56.000 dipendenti sparsi in decine di paesi.
Da giovedì, al posto dei contenuti originali dei due siti, compare un banner ufficiale delle forze dell’ordine statunitensi. Uno dei portali veniva usato dal gruppo per pubblicizzare le proprie operazioni di hacking. L’altro serviva a diffondere dati personali di decine di individui accusati di avere legami con l’esercito israeliano e con aziende della difesa come Elbit Systems e NSO Group. Il messaggio lasciato dall’FBI non spiega nel dettaglio le ragioni del sequestro. Il linguaggio utilizzato però fa pensare che le autorità americane ritengano questi siti gestiti da hacker che operano per conto o in coordinamento con uno stato straniero. La verifica dei record nameserver dei domini conferma che ora puntano a server controllati dall’FBI.
Cosa è successo a Stryker e come è avvenuto l’attacco hacker
Handala è attivo almeno dall’ottobre 2023, dopo gli attacchi di Hamas, e viene considerato vicino al regime iraniano. La scorsa settimana il gruppo ha rivendicato l’attacco contro Stryker. Ha infatti sostenuto che fosse una ritorsione per un attacco missilistico statunitense che ha colpito una scuola iraniana, causando la morte di almeno 175 persone, per la maggior parte bambini. L’anno scorso Stryker aveva firmato un contratto da circa 400 milioni di euro per fornire dispositivi medici al Dipartimento della Difesa americano.
Secondo le ricostruzioni, gli hacker sarebbero riusciti a violare un account amministratore interno di Stryker, ottenendo un accesso praticamente illimitato alla rete Windows dell’azienda. Da lì avrebbero preso il controllo delle dashboard di Intune. Ovvero lo strumento che l’azienda utilizza per gestire da remoto i laptop e i dispositivi mobili dei dipendenti, compresa la possibilità di cancellare dati. Grazie a questo accesso, il gruppo sarebbe riuscito a fare il wipe di dispositivi appartenenti sia all’azienda sia ai suoi dipendenti. Martedì Stryker ha dichiarato che il ripristino dei computer e della rete interna è ancora in corso.
La reazione di Handala e le prospettive future
Sul proprio canale Telegram ufficiale, Handala ha riconosciuto il sequestro dei siti definendolo “un tentativo disperato di mettere a tacere la nostra voce”. Il gruppo ha aggiunto che la rimozione dei contenuti “conferma soltanto l’impatto della nostra missione” e che “la ricerca della giustizia non può essere fermata abbattendo un sito web”. Anche l’account X del gruppo è stato recentemente sospeso.
Nariman Gharib, attivista iraniano con base nel Regno Unito e investigatore indipendente nel campo del cyberspionaggio, ha commentato che i sequestri rappresentano una buona notizia. La struttura organizzativa e gestionale del gruppo risulta attualmente compromessa, e i suoi membri potrebbero in qualsiasi momento diventare bersagli di attacchi missilistici, come è già accaduto ad altre unità cyber del regime. Gharib ha però precisato che questo non significa necessariamente la fine delle attività del gruppo. Future fughe di dati potrebbero essere pubblicate attraverso media vicini ai Guardiani della Rivoluzione Islamica, il braccio militare del regime iraniano.
