Aktorët e kërcënimit me lidhje me Iranin depërtuan me sukses në llogarinë personale të emailit të Kash Patel, drejtorit të Byrosë Federale të Hetimeve të SHBA-së (FBI) dhe zbuluan një skedar fotografish dhe dokumentesh të tjera në internet.

Ekipi Handala Hack, e cila kreu shkeljen, tha në faqen e saj të internetit se Patel “tani do ta gjejë emrin e tij në listën e viktimave të hakuara me sukses”. Në një deklaratë të ndarë me Reuters, FBI konfirmuar Email-et e Patel ishin në shënjestër dhe u vunë re se janë marrë hapat e nevojshëm për të “zbutur rreziqet e mundshme që lidhen me këtë aktivitet”.

Agjencia tha gjithashtu se të dhënat e publikuara ishin “historike në natyrë dhe nuk përfshinin asnjë informacion qeveritar”. Rrjedhja përfshin email nga 2010 dhe 2019 që supozohet se janë dërguar nga Patel.

Handala Hack vlerësohet të jetë një person haktivist pro-iranian, pro-palestinez i adoptuar nga Ministria e Inteligjencës dhe Sigurisë e Iranit (MOIS). Është gjurmuar nga komuniteti i sigurisë kibernetike nën emrat Banished Kitten, Cobalt Mystique, Red Sandstorm dhe Void Manticore, me grupin që operon gjithashtu një person tjetër të quajtur Drejtësia e Atdheut për të synuar subjektet shqiptare që nga mesi i vitit 2022.

Një person i tretë i lidhur me kundërshtarin e lidhur me MOIS është Karma, e cila thuhet se ka të ngjarë të jetë zëvendësuar plotësisht nga Handala Hack që nga fundi i vitit 2023.

Të dhënat e mbledhura nga StealthMole ka zbuluar se prania në internet e Handala shtrihet përtej platformave të mesazheve dhe forumeve të krimit kibernetik si BreachForums për të publikuar aktivitetet e saj, duke mbajtur një infrastrukturë të shtresuar që përfshin domenet sipërfaqësore të uebit, shërbimet e strehuara nga Tor dhe platformat e jashtme të mbajtjes së skedarëve si MEGA.

“Handala ka synuar vazhdimisht ofruesit e IT dhe shërbimeve në një përpjekje për të marrë kredencialet, duke u mbështetur kryesisht në llogaritë e komprometuara VPN për aksesin fillestar,” Check Point tha në një raport të publikuar këtë muaj. “Gjatë muajve të fundit, ne identifikuam qindra përpjekje për hyrje dhe forcë brutale kundër infrastrukturës organizative VPN të lidhur me infrastrukturën e lidhur me Handala.”

Sulmet e montuara nga grupi proxy dihet se përdorin RDP-në për lëvizje anësore dhe iniciojnë operacione shkatërruese duke hequr familjet e programeve të dëmshme të fshirëseve si Handala Wiper dhe Handala PowerShell Wiper nëpërmjet skripteve të hyrjes së Politikës së Grupit. Përdoren gjithashtu mjete legjitime të enkriptimit të diskut si VeraCrypt për të komplikuar përpjekjet e rikuperimit.

“Ndryshe nga grupet kibernetike të motivuara financiarisht, aktiviteti i lidhur me Handala ka theksuar historikisht përçarjen, ndikimin psikologjik dhe sinjalizimin gjeopolitik,” Flashpoint tha. “Operacionet që i atribuohen personazhit shpesh përputhen me periudhat e tensionit të shtuar gjeopolitik dhe shpesh synojnë organizata me vlerë simbolike ose strategjike.”

zhvillimin vjen në sfondin e Konflikti SHBA-Izrael-Iran, duke e shtyrë Iranin të shkojë në një ofensivë kibernetike hakmarrëse kundër objektivave perëndimore. Veçanërisht, Handala Hack kredi e kërkuar për gjymtimin e rrjeteve të pajisjeve mjekësore dhe ofruesit të shërbimeve Stryker duke fshirë një sasi të madhe të dhënash të kompanisë dhe duke fshirë mijëra pajisje punonjësish. Sulmi është konfirmuar fillimisht Operacioni shkatërrues i fshirëseve që synon një kompani të Fortune 500 në SHBA.

Në një përditësim të lëshuar në faqen e tij të internetit këtë javë, Stryker tha “Incidenti është i përmbajtur”, duke shtuar se “reagoi shpejt jo vetëm për të rifituar aksesin, por për të hequr palën e paautorizuar nga mjedisi ynë” duke çmontuar mekanizmat e instaluar të qëndrueshmërisë. Thuhet se shkelja ishte i kufizuar në mjedisin e tij të brendshëm të Microsoft.

Aktorët e kërcënimit janë gjetur të përdorin një skedar me qëllim të keq për të ekzekutuar komanda që i lejojnë ata të fshehin veprimet e tyre. Sidoqoftë, skedari nuk posedon asnjë aftësi për t’u përhapur në të gjithë rrjetin, vuri në dukje Stryker.

Njësia e Rrjeteve Palo Alto 42 tha vektori kryesor për operacionet e fundit shkatërruese nga Handala Hack ka të ngjarë të përfshijë “shfrytëzimin e identitetit përmes phishing dhe aksesit administrativ përmes Microsoft Intune”, ka Hudson Rock gjetur prova që kredencialet e komprometuara të lidhura me infrastrukturën e Microsoft-it të marra nëpërmjet malware të vjedhësit të informacionit mund të jenë përdorur për të kryer hakimin.

Në vazhdën e shkeljes, të dyja Microsoft dhe Agjencia e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA) kanë lëshuar udhëzime për forcimin e domeneve të Windows dhe forcimin e Intune për t’u mbrojtur kundër sulmeve të ngjashme. Kjo përfshin përdorimin e parimit të privilegjit më të vogël, zbatimin e vërtetimit me shumë faktorë rezistent ndaj phishing (MFA) dhe duke mundësuar miratimin me shumë administratorë në Intune për ndryshime të ndjeshme.

Flashpoint e ka karakterizuar sulmin ndaj Stryker si një ndryshim të rrezikshëm në kërcënimet e zinxhirit të furnizimit, pasi aktiviteti kibernetik i lidhur me shtetin që synon furnizuesit kritikë dhe ofruesit e logjistikës mund të ketë ndikime kaskaduese në të gjithë ekosistemin e kujdesit shëndetësor. 

Rrjedhja e emaileve personale të Patel nga Handala Hack vjen si përgjigje ndaj një operacioni të autorizuar nga gjykata që çoi në sekuestrimin e katër domeneve të operuara nga MOIS që nga viti 2022, si pjesë e një përpjekjeje për të ndërprerë aktivitetet e saj keqdashëse në hapësirën kibernetike. Qeveria e SHBA është gjithashtu duke ofruar një shpërblim prej 10 milionë dollarësh për informacion mbi anëtarët e grupit. Emrat e domeneve të sekuestruara janë renditur më poshtë –

  • drejtësi atdhe[.]org
  • handala-hack[.]të
  • karmabelow80[.]org
  • handala-redwanted[.]të

“Domenet e sekuestruara […] u përdorën nga MOIS për të nxitur përpjekjet për operacione psikologjike që synonin kundërshtarët e regjimit duke pretenduar kredi për aktivitet hakerimi, duke postuar të dhëna të ndjeshme të vjedhura gjatë sulmeve të tilla dhe duke bërë thirrje për vrasjen e gazetarëve, disidentëve të regjimit dhe personave izraelitë,” Departamenti i Drejtësisë i SHBA (DoJ). tha.

Kjo përfshinte emrat dhe informacionin e ndjeshëm të rreth 190 individëve të lidhur ose të punësuar nga Forca e Mbrojtjes Izraelite (IDF) dhe/ose qeveria izraelite, dhe 851 GB të dhëna konfidenciale nga anëtarët e komunitetit hebre Sanzer Hasidic. Për më tepër, një adresë emaili e lidhur me grupin (“handala_team@outlook[.]com”) supozohet se është përdorur për të dërguar kërcënime me vdekje ndaj disidentëve dhe gazetarëve iranianë që jetojnë në SHBA dhe gjetkë.

Në një këshillë të veçantë, FBI zbuloi se Handala Hack dhe aktorë të tjerë kibernetikë të MOIS kanë përdorur taktika të inxhinierisë sociale për t’u angazhuar me viktimat e mundshme në aplikacionet e mesazheve sociale për të ofruar malware të Windows të aftë për të mundësuar akses të vazhdueshëm në distancë duke përdorur një bot Telegram duke maskuar ngarkesën e fazës së parë si programe të zakonshme të përdorura si WhatsAppPa, Telegrame, Telegrame.

Përdorimi i Telegram (ose shërbime të tjera legjitime) si C2 është një taktikë e zakonshme nga aktorët e kërcënimit për të fshehur aktivitetin keqdashës midis trafikut normal të rrjetit dhe për të zvogëluar ndjeshëm gjasat e zbulimit. Artefaktet e lidhura me malware të gjetura në pajisjet e komprometuara kanë zbuluar aftësi të shtuara për të regjistruar audio dhe ekran ndërsa një sesion Zoom ishte aktiv. Sipas FBI-së, sulmet kanë shënjestruar disidentët, grupet e opozitës dhe gazetarët.

“Aktorët kibernetikë të MOIS janë përgjegjës për përdorimin e Telegramit si një infrastrukturë komandimi dhe kontrolli (C2) për të nxitur malware që synojnë disidentët iranianë, gazetarët kundërshtarë të Iranit dhe grupet e tjera opozitare në mbarë botën,” byroja. tha. “Ky malware rezultoi në mbledhjen e inteligjencës, rrjedhje të të dhënave dhe dëmtim të reputacionit kundër palëve të synuara.”

Handala Hack ka që nga rishfaqja në një domen tjetër të qartë, “handala-team[.]to”, ku i përshkroi sekuestrimin e domenit si “përpjekje të dëshpëruara nga Shtetet e Bashkuara dhe aleatët e saj për të heshtur zërin e Handala”.

konflikti i vazhdueshëm ka gjithashtu nxiti paralajmërime të reja se rrezikon t’i kthejë operatorët kritikë të sektorit të infrastrukturës në objektiva fitimprurës, edhe pse ka shkaktuar një rritje të Sulmet DDoS, prishjet e faqes në internet, dhe operacionet hack-and-leak kundër Izraeli dhe Organizatat perëndimore. Subjektet hakktivistë kanë gjithashtu të angazhuar në operacionet psikologjike dhe influencuese me qëllim të mbjelljes së frikës dhe konfuzionit midis popullatave të synuara.

Javët e fundit, një grup relativisht i ri kriminal kibernetik i quajtur Nasir Security është vërejtur që synon sektorin e energjisë në Lindjen e Mesme. “Grupi po sulmon shitësit e zinxhirit të furnizimit të përfshirë në inxhinieri, siguri dhe ndërtim,” Resecurity tha. “Sulmet e zinxhirit të furnizimit që i atribuohen Sigurisë Nasir janë kryer me gjasë nga mercenarë kibernetikë ose individë të punësuar ose sponsorizuar nga Irani ose përfaqësuesit e tij”.

“Aktiviteti kibernetik i lidhur me këtë konflikt po bëhet gjithnjë e më i decentralizuar dhe shkatërrues,” tha në një deklaratë Kathryn Raines, drejtuese e ekipit të inteligjencës së kërcënimeve kibernetike për Zgjidhjet e Sigurisë Kombëtare në Flashpoint.

“Grupe si Handala dhe Fatimion po synojnë organizatat e sektorit privat me sulme të krijuara për të fshirë të dhënat, për të prishur shërbimet dhe për të futur pasiguri si për bizneset ashtu edhe për publikun. Në të njëjtën kohë, ne po shohim një përdorim më të madh të mjeteve legjitime administrative në këto operacione kibernetike, duke e bërë dukshëm më të vështirë zbulimin e kontrolleve tradicionale të sigurisë.”

Kjo nuk është e gjitha. Aktorët e lidhur me MOIS janë angazhuar gjithnjë e më shumë me ekosistemin e krimit kibernetik për të mbështetur objektivat e tij dhe për të siguruar një mbulesë për aktivitetin e tij keqdashës. Kjo përfshin integrimin nga Handala të vjedhësit Rhadamanthys në operacionet e tij dhe përdorimin nga MuddyWater të botnet-it Tsundere (aka Dindoor) dhe Fakset, ky i fundit është një shkarkues që përdoret për të ofruar CastleLoader.

“Një angazhim i tillë ofron një avantazh të dyfishtë: ai rrit aftësitë operacionale përmes aksesit në mjetet e pjekura kriminale dhe infrastrukturën elastike, ndërsa ndërlikon atribuimin dhe kontribuon në konfuzionin e përsëritur rreth aktivitetit të kërcënimit iranian,” Check Point. tha.

“Përdorimi i mjeteve të tilla ka krijuar konfuzion të konsiderueshëm, duke çuar në keqatribuim dhe orientim me të meta, dhe grumbullim së bashku aktivitete që nuk janë domosdoshmërisht të lidhura. Kjo tregon se përdorimi i softuerit kriminal mund të jetë efektiv për turbullim dhe nxjerr në pah nevojën për kujdes ekstrem kur analizohen grupimet e mbivendosura.”