В пресс‑релизе, опубликованном в четверг, Министерство юстиции США объявило, что иранское министерство разведки и безопасности (MOIS) контролирует группу Handala, которую ФБР назвало «фальшивым активистским образом», использованным для публикации украденных данных. Группа призналась в кибератаке 11 марта, когда злоумышленники удалили данные с десятков тысяч устройств сотрудников Stryker, ссылаясь на ответ на американский авианалет, в результате которого, по заявлениям Ирана, погибло 168 детей.
Что произошло
ФБР отключило два сайта, связанные с Handala, и два домена, использовавшихся под именами «Justice Homeland» и «Homeland Justice». Эти домены ранее публиковали данные из кибератаки на правительство Албании в 2022 году, к которой Microsoft также привела MOIS.
Почему это важно
«Один образ может использовать несколько групп, а реальная инвазия может выполняться другими командами», — сказал Алекс Орлеан из Sublime Security. По его словам, это усложняет расследования и указывает на стратегию Ирана применять «мульти‑персоналии» для скрытия операторов.
Что дальше
«Мы отключили четыре основных узла их операций, но работа продолжается», — заявил директор ФБР Каш Пател. Исследователь Keith O’Neill из DomainTools отметил, что Handala уже регистрирует новые домены, которые могут стать следующими площадками для киберпропаганды.