Il gruppo hacktivista Handala, che la settimana scorsa ha rivendicato il devastante attacco informatico contro il colosso statunitense della tecnologia medica Stryker, sarebbe in realtà una creatura del governo iraniano. A dirlo è il Dipartimento di Giustizia degli Stati Uniti. Quest’ultimo in un comunicato ufficiale pubblicato giovedì ha puntato il dito dritto contro il Ministero dell’Intelligence e della Sicurezza iraniano, noto con la sigla MOIS.
Secondo le autorità americane, Handala non sarebbe altro che una finta identità attivista. Viene usata dal ministero iraniano per condurre “operazioni psicologiche” contro i nemici del regime, rivendicare attacchi informatici e pubblicare informazioni rubate durante quelle stesse operazioni. Non solo: il gruppo avrebbe anche incitato all’uccisione di giornalisti, dissidenti e cittadini israeliani.
L’annuncio è arrivato poche ore dopo che l’FBI ha sequestrato due siti web collegati a Handala. Il gruppo utilizzava quei siti per pubblicizzare i propri presunti attacchi e diffondere dati personali di decine di persone che, secondo gli hacker, lavoravano per l’esercito israeliano e per aziende della difesa.
Handala aveva rivendicato sul proprio sito l’attacco informatico dell’11 marzo contro Stryker. Evento durante il quale gli hacker avevano cancellato da remoto i dati di decine di migliaia di dispositivi aziendali. Secondo quanto dichiarato dagli stessi hacker, l’operazione era una ritorsione per un bombardamento americano su una scuola iraniana che, stando a fonti ufficiali iraniane, avrebbe causato la morte di 168 bambini.
USA, sequestro di domini e collegamenti con altri attacchi
Il direttore dell’FBI Kash Patel è stato citato nel comunicato del Dipartimento di Giustizia con queste parole. L’FBI “ha abbattuto quattro pilastri delle loro operazioni, e non abbiamo finito.” Oltre ai due siti di Handala, le autorità hanno sequestrato anche altri due domini che sarebbero stati usati dal MOIS attraverso un’altra identità hacktivista che si fa chiamare “Justice Homeland” o “Homeland Justice.”
Il Dipartimento di Giustizia ha accusato gli hacker governativi iraniani di aver usato quei domini per rivendicare l’attacco contro il governo albanese nel 2022. Un’operazione che mandò offline i server governativi e portò al furto di dati sensibili. Anche Microsoft aveva collegato quell’attacco al MOIS.
In un affidavit presentato in tribunale per ottenere il sequestro dei siti di Handala, l’FBI ha dichiarato che Handala, Justice Homeland e un’altra identità chiamata Karma Below “fanno parte della stessa cospirazione perché gestite dagli stessi individui.”
Handala risponde e si riorganizza
Handala ha reagito all’annuncio americano con un messaggio sul proprio canale Telegram ufficiale. Ha così definito le azioni del governo USA “nient’altro che gli ultimi tentativi disperati degli USA e dei loro alleati di mettere a tacere la voce di Handala.”
Secondo il ricercatore di cybersecurity Keith O’Neill di DomainTools, il gruppo ha già registrato nuovi domini che non sono ancora stati sequestrati. Né Handala, né un portavoce della missione permanente dell’Iran presso le Nazioni Unite, né Stryker hanno risposto alle richieste di commento.
Alex Orleans, responsabile dell’intelligence sulle minacce presso Sublime Security e da anni osservatore delle attività degli hacker iraniani, ha spiegato che le persone dietro l’identità di Handala potrebbero non essere le stesse che conducono materialmente gli attacchi. “Potrebbero esserci più team che eseguono le intrusioni vere e proprie, mentre un team distinto si occupa di mantenere il personaggio pubblico. Il tutto all’interno di un unico elemento MOIS più ampio.” E ha aggiunto: “C’è un livello di opacità che può essere molto difficile da penetrare.