В рамках значительной правоохранительной операции Федеральное бюро расследований (ФБР) конфисковало два клирнет-домена, управляемых связанной с Ираном хактивистской группировкой Handala. Эта конфискация последовала за разрушительной кибератакой, которую группа провела против глобальной корпорации медицинских технологий Stryker, что, по сообщениям, привело к удалению данных с примерно 80 000 устройств. На конфискованных доменах `handala-redwanted[.]to` и `handala-hack[.]to` теперь отображается официальное уведомление о конфискации, указывающее, что они были отключены на основании ордера, выданного Окружным судом США по округу Мэриленд.
В уведомлении говорится, что ФБР установило, что домены использовались «для проведения, содействия или поддержки злонамеренной кибердеятельности от имени иностранного государственного субъекта или в координации с ним». В нем прямо упоминаются такие действия, как несанкционированное проникновение в сети и нацеливание на инфраструктуру. Взяв под контроль эти платформы, которые использовались для утечки похищенных данных и заявлений об ответственности за атаки, американские власти стремятся нарушить текущие операции и предотвратить дальнейшую эксплуатацию скомпрометированных систем. Это действие подчеркивает растущее внимание к демонтажу цифровой инфраструктуры, используемой субъектами угроз, даже теми, кто действует под знаменами хактивизма.
Группировка Handala, также известная как Handala Hack Team, Hatef или Hamsa, является пропалестинским коллективом, впервые замеченным в декабре 2023 года, и, по оценкам исследователей кибербезопасности, имеет связи с Ираном. Атака группы на Stryker представляет собой серьезную эскалацию, переход от обычных кампаний по краже и утечке данных к разрушительным атакам типа «wiper», которые могут вывести из строя операционные технологии в критических секторах. Нацеливание на крупного производителя медицинского оборудования подчеркивает готовность группы воздействовать на инфраструктуру здравоохранения, что согласуется с более широкой тенденцией перетекания геополитических конфликтов в разрушительные кибероперации.
Эта конфискация происходит на фоне насыщенного ландшафта кибербезопасности. К последним событиям относятся выпуск компанией ConnectWise заплатки для критической уязвимости в ее программном обеспечении ScreenConnect, появление нового эксплойта для iOS под названием «DarkSword», используемого в атаках для кражи информации, и выпуск Apple нового типа обновления безопасности. Кроме того, в атаке на сервис криптовалют Bitrefill была обвинена группировка Lazarus, связанная с Северной Кореей, в то время как, по сообщениям, поддерживаемые российским государством субъекты использовали уязвимость в Zimbra в атаках на украинские государственные структуры. Ликвидация ФБР сайтов Handala служит напоминанием о непрекращающейся многоплановой борьбе с киберугрозами, исходящими от различных групп, связанных с государствами.
