Annunciati diversi breach, vulnerabilità sfruttate ITW, attacchi in Italia

NoName057(16) mira all’Italia, nuove offensive nel panorama cybercrime, le ultime da Mosca e Pyongyang

 Vedi tutte
Threat Intelligence

Handala: uno dei volti dell’hacktivismo filogovernativo iraniano

Threat Discovery Telsy TS WAY Cyber Threat Intelligence

Nel corso del primo mese della guerra avviata da Israle e USA contro l’Iran, fra i collettivi pro-Teheran si sono distinti Handala e Homeland Justice, due realtà che gli analisti hanno da tempo ricondotto a Void Manticore. L’avversario, affiliato al MOIS (Ministero delle informazioni e della sicurezza nazionale), le utilizza come moniker in specifiche campagne.

Le due formazioni si presentano come forze hacktiviste, specializzate e ben riconoscibili, operanti in contesti PsyOps. Homeland Justice, di cui abbiamo già parlato in passato, sembra concentrato quasi esclusivamente contro il MEK (Mojahedin-e Khalq) e ha ancora ripetutamente mirato contro l’Albania, dove la milizia di dissidenti è stata indotta a fondare la propria cittadella fortificata.

Handala, invece, ha recentemente dimostrato una predilezione per le operazioni Hack and Leak ai danni di importanti realtà del settore industriale e governativo.

 

Handala colpisce Stryker, l’FBI e Lockheed Martin

Handala, attivo almeno dal dicembre 2023, prende il nome dal personaggio creato dall’artista palestinese Naji al-Ali, un bambino di 10 anni, con capelli ispidi, piedi nudi e toppe sui vestiti, che viene raffigurato di spalle con le mani intrecciate dietro la schiena.

Il collettivo è finito sotto i riflettori per l’attacco a fini distruttivi dell’11 marzo contro il colosso americano Stryker. L’offensiva ha mirato in prima istanza alla piattaforma di gestione dei dispositivi mobili dell’azienda (Microsoft Intune) con l’obiettivo di impostare su tutti gli endpoint aziendali la cancellazione da remoto tramite il comando nativo e legittimo Remote Wipe. Parallelamente, sarebbe stato utilizzato anche il wiper custom del gruppo (FuxSocy). L’accesso all’ambiente Microsoft dell’azienda sarebbe stato preceduto da una campagna di “phishing AitM” mirata ai token di sessione amministrativa che ha aggirato l’autenticazione a più fattori (MFA).

La compagnia – una delle maggiori produttrici di dispositivi medici al mondo, con oltre 56.000 dipendenti distribuiti in sedi sparse in oltre 60 Paesi – avrebbe subito la cancellazione di 200.000 fra sistemi, server e dispositivi mobili e il breach di 50 TB di dati critici, con conseguente interruzione dell’operatività degli uffici a livello globale.

Nella rivendicazione, Handala annunciava al mondo di aver agito in risposta al brutale attacco contro la scuola di Minab (avvenuta nella prima fase di “Epic Fury”) e contro i cyberattacchi condotti contro le infrastrutture dell’Asse della Resistenza. Inoltre, accusava Stryker di essere una corporation con radici sioniste (Bloomberg riporta che nel 2019 Stryker ha acquisito l’azienda israeliana Orthospace e l’anno scorso ha siglato un contratto militare da $450 milioni con gli Stati Uniti).

Successivamente, l’FBI ha sequestrato e oscurato due siti web collegati ad Handala, azione che ha innescato una serie di rappresaglie incrociate. Gli hacktivisti hanno, infatti, diffuso su Telegram un messaggio di minaccia esplicita nei confronti dell’Agenzia americana, preannunciando un imminente breach e utilizzando una retorica intimidatoria volta a mettere in discussione l’efficacia delle capacità di sicurezza dell’Agenzia.

A stretto giro, il canale Telegram associato al gruppo è risultato non accessibile. Ma Handala ha rapidamente aperto un nuovo canale dal quale ha avvertito di essere in possesso di informazioni attribuite al Direttore dell’Federal Bureau, Kash Patel. Nella rivendicazione si fa riferimento a e-mail, conversazioni e documenti e a una presunta Proof-of-Concept del breach scaricabile. Dal canto suo, l’FBI ha confermato di essere a conoscenza di attività malevole mirate all’account e-mail personale del Direttore Patel.

A fine marzo, Handala ha condotto un’altra operazione hack-and-leak con esplicite finalità intimidatorie contro Lockheed Martin, prendendo di mira ingegneri statunitensi dell’azienda attivi in Israele su programmi militari avanzati (F-35, F-22, THAAD).

In una prima fase, il gruppo ha diffuso un messaggio di anticipazione a fini propagandistici per amplificare l’impatto mediatico e suggerire una compromissione del target; successivamente ha rivendicato un presunto data breach con esposizione mirata di dati personali sensibili relativi a una trentina di individui. Secondo quanto dichiarato, i dati sarebbero stati utilizzati per contattare direttamente alcune vittime, dimostrando l’accesso alle informazioni e aumentando la pressione su di esse. L’operazione è stata accompagnata da un invito a cessare le attività e lasciare Israele, con minacce esplicite di ritorsioni fisiche estese anche ai familiari negli USA.

 

Fra “guerra infrastrutturale” e PsyOps

L’attacco a Stryker è significativo per una serie di ragioni. Intanto, risulta notevole per le tecniche, poiché ha utilizzato strumenti legittimi nativi riuscendo a eludere il rilevamento delle principali soluzioni di sicurezza. Inoltre, si distingue per la tipologia e le dimensioni del target (che serve oltre 150 milioni di pazienti attraverso apparecchiature e servizi sanitari).

Questi elementi confermano una particolare attitudine del gruppo per le PsyOps, già sottolineata in relazione agli avversari filoiraniani nel complesso. Inoltre, confermano la preoccupante evoluzione nella dottrina iraniana verso una “guerra infrastrutturale”, basata su un modello ibrido che combina intrusione digitale e distruzione fisica.

Secondo alcune ricostruzioni, infatti, l’impatto più grave sarebbe stato il blocco della piattaforma di trasmissione ECG LifeNet, utilizzata dai paramedici per trasmettere i dati cardiaci ai pronto soccorso prima dell’arrivo dei pazienti. La sua disattivazione temporanea avrebbe costretto le squadre di emergenza a ricorrere a consultazioni radio manuali, mettendo potenzialmente a rischio la vita dei pazienti.

 

TS-Intelligence

TS Intelligence_Telsy_Platform 2_LUG25Le informazioni riportate sono l’esito del lavoro di raccolta e analisi svolto dagli specialisti del team Theat Intelligence & Response di Telsy con l’ausilio della piattaforma TS-Intelligence, una soluzione proprietaria, flessibile e personalizzabile, che fornisce alle organizzazioni un panorama di rischio dettagliato.

Si presenta come una piattaforma fruibile via web e full-API che può essere azionata all’interno dei sistemi e delle infrastrutture difensive dell’organizzazione, con l’obiettivo di rafforzare la protezione nei confronti delle minacce cibernetiche complesse.

La costante attività di ricerca e analisi sui threat actors e sulle minacce emergenti in rete, sia in ambito APT che cyber crime, produce un continuo flusso informativo di natura esclusiva che viene messo a disposizione delle organizzazioni in real-time ed elaborato in report tecnici, strategici ed executive.

Scopri di più sui nostri servizi di Cyber Threat Intelligence.

1