Handala Hack működése
A Check Point kutatása szerint a Handala Hack valójában nem klasszikus hacktivista csoport, hanem egy állami hátterű iráni kiberművelet, amely a kutatók értékelése szerint a Void Manticore (Red Sandstorm / Banished Kitten) fenyegetési klaszterhez tartozik, és kapcsolatban áll az iráni Ministry of Intelligence and Security (MOIS) azaz a hírszerzéssel. A Handala elsősorban kommunikációs és propaganda-frontként működik: a csoport saját identitását pro-palesztin hacktivista mozgalomként mutatja be, miközben a tényleges műveletek mögött állami irányítású kiberkémkedési és romboló műveletek állnak.
A csoport működési modellje több egymással összekapcsolt online persona használatára épül. A Handala mellett a kutatók azonosították a Homeland Justice és a Karma nevű fedőidentitásokat is, amelyek ugyanazon operátori infrastruktúrát és eszközkészletet használják. Ezek a persona-alapú műveletek lehetővé teszik, hogy az aktor különböző geopolitikai narratívák mögé rejtse az állami kiberműveleteket, miközben a támadások technikai jellemzői egyértelmű átfedéseket mutatnak.
A Handala-kampányok egyik jellegzetessége a hack-and-leak stratégia, amelyben a támadók adatszivárgást, defacementet vagy kompromittált információk publikálását használják pszichológiai és információs hadviselési célokra. A csoport emellett destruktív wiper-támadásokat is alkalmaz, amelyek a kompromittált rendszereken fájlok tömeges törlését vagy megsemmisítését hajtják végre. A műveletek gyakran politikai üzenetekkel vagy propagandaanyaggal párosulnak, ami a technikai támadás mellett kommunikációs hatást is generál.
A technikai műveletek során a csoport jellemzően kézi, hands-on-keyboard intrúziós módszereket alkalmaz. A behatolások során nyílt forráskódú vagy kereskedelmi eszközöket, valamint egyszerű törlő- és titkosító programokat használnak, amelyek gyors romboló hatást képesek kiváltani a kompromittált rendszereken. Újabb kampányokban a kutatók olyan technikákat is megfigyeltek, mint a NetBird hálózati tunneling eszköz használata a belső hálózati hozzáférés fenntartására, valamint AI-támogatott PowerShell-szkriptek alkalmazása wiper-műveletek automatizálására.
A csoport kezdeti hozzáférést gyakran külső forrásokból szerzi, például kiberbűnözői szolgáltatások, hozzáférés-broker hálózatok vagy kompromittált rendszerek révén. Ez jól illeszkedik az iráni hírszerzési szervezetek egyre gyakoribb gyakorlatához, amelyben a nemzetállami kiberműveletek a kiberbűnözői ökoszisztéma eszközeit és infrastruktúráját használják operatív támogatásként.
A célpontok elsősorban izraeli, amerikai és európai szervezetek, különösen kormányzati, energetikai és technológiai szektorok. A csoport műveletei gyakran geopolitikai eseményekhez kapcsolódnak, és a támadások időzítése sok esetben politikai vagy katonai feszültségekkel esik egybe.
