Los actores de amenazas con vínculos con Irán irrumpieron con éxito en la cuenta de correo electrónico personal de Kash Patel, director de la Oficina Federal de Investigaciones (FBI) de Estados Unidos, y filtraron un alijo de fotografías y otros documentos a Internet.
Handala Hack Team, que llevó a punta la violación, dijo en su sitio web que Patel “ahora encontrará su nombre entre la repertorio de víctimas pirateadas con éxito”. En una explicación compartida con Reuters, el FBI confirmó que los correos electrónicos de Patel habían sido atacados y señaló que se habían tomado las medidas necesarias para “mitigar los riesgos potenciales asociados con esta actividad”.
La agencia todavía dijo que los datos publicados eran “de naturaleza histórica y no involucran información público”. La filtración incluye correos electrónicos de 2010 y 2019 supuestamente enviados por Patel.
Se considera que Handala Hack es una persona hacktivista pro-iraní y pro-palestina adoptada por el Empleo de Inteligencia y Seguridad de Irán (MOIS). La comunidad de ciberseguridad lo rastrea bajo los apodos Banished Kitten, Cobalt Mystique, Red Sandstorm y Void Manticore, y el familia todavía opera otra persona citación Homeland Justice para apuntar a entidades albanesas desde mediados de 2022.
Una tercera persona vinculada al adversario afiliado a MOIS es Karma, que se dice que probablemente fue reemplazado por completo por Handala Hack desde finales de 2023.
Los datos recopilados por StealthMole han revelado que la presencia en semirrecta de Handala se extiende más allá de las plataformas de transporte y foros de cibercrimen como BreachForums para publicitar sus actividades, manteniendo una infraestructura en capas que incluye dominios web superficiales, servicios alojados en Tor y plataformas externas de alojamiento de archivos como MEGA.
“Handala se ha dirigido constantemente a proveedores de servicios y TI en un esfuerzo por obtener credenciales, confiando en gran medida en cuentas VPN comprometidas para el acercamiento auténtico”, dijo Check Point en un mensaje publicado este mes. “A lo derrochador de los últimos meses, identificamos cientos de intentos de inicio de sesión y de fuerza bruta contra la infraestructura VPN organizacional vinculada a la infraestructura asociada a Handala”.
Se sabe que los ataques montados por el familia de proxy aprovechan RDP para el movimiento limítrofe e inician operaciones destructivas al eliminar familias de malware de pureza como Handala Wiper y Handala PowerShell Wiper a través de scripts de inicio de sesión de Política de familia. Asimismo se utilizan utilidades legítimas de criptográfico de discos como VeraCrypt para complicar los esfuerzos de recuperación.
“A diferencia de los grupos cibercriminales motivados financieramente, la actividad asociada a Handala históricamente ha enfatizado la perturbación, el impacto psicológico y las señales geopolíticas”, dijo Flashpoint. “Las operaciones atribuidas a la persona con frecuencia se alinean con períodos de elevada tensión geopolítica y, a menudo, apuntan a organizaciones con valía simbólico o clave”.
Este acontecimiento se produce en el contexto del conflicto entre Estados Unidos, Israel e Irán, que llevó a Irán a propalar una ciberofensiva de represalia contra objetivos occidentales. En particular, Handala Hack se atribuyó el mérito de paralizar las redes del proveedor de servicios y dispositivos médicos Stryker al eliminar una enorme cantidad de datos de la empresa y borrar miles de dispositivos de los empleados. El ataque es la primera operación de pureza destructiva confirmada dirigida a una empresa estadounidense Fortune 500.
En una aggiornamento publicada en su sitio web esta semana, Stryker dijo que “el incidente está contenido”, y agregó que “reaccionó rápidamente no sólo para recuperar el acercamiento sino todavía para eliminar a la parte no autorizada de nuestro entorno” desmantelando los mecanismos de persistencia instalados. La violación, afirmó, se limitó a su entorno interno de Microsoft.
Se ha descubierto que los actores de amenazas utilizan un archivo astuto para ejecutar comandos que les permitieron ocultar sus acciones. Sin secuestro, el archivo no posee ninguna capacidad para propagarse a través de la red, señaló Stryker.
La Mecanismo 42 de Palo Detención Networks dijo que el vector principal de las recientes operaciones destructivas de Handala Hack probablemente implica la “explotación de la identidad a través de phishing y acercamiento oficinista a través de Microsoft Intune”. Hudson Rock ha opuesto evidencia de que las credenciales comprometidas asociadas con la infraestructura de Microsoft obtenidas mediante malware de robo de información pueden haberse utilizado para resistir a punta el ataque.
A raíz de la infracción, tanto Microsoft como la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han publicado una asesor sobre cómo engrosar los dominios de Windows y blindar Intune para defenderse contra ataques similares. Esto incluye el uso del principio de privilegio minúsculo, la aplicación de la autenticación multifactor (MFA) resistente al phishing y la autorización de la aprobación de múltiples administradores en Intune para cambios confidenciales.
Flashpoint ha caracterizado el ataque a Stryker como un cambio peligroso en las amenazas a la prisión de suministro, ya que la actividad cibernética vinculada al estado dirigida a proveedores críticos y de abastecimiento puede tener impactos en cascada en todo el ecosistema de atención médica.
La filtración de Handala Hack de los correos electrónicos personales de Patel se produce en respuesta a una operación autorizada por el tribunal que condujo a la incautación de cuatro dominios operados por MOIS desde 2022 como parte de un esfuerzo por interrumpir sus actividades maliciosas en el ciberespacio. El gobierno de Estados Unidos todavía ofrece una remuneración de 10 millones de dólares por información sobre miembros del familia. Los nombres de los dominios incautados se enumeran a continuación:
- justiciapatria(.)org
- hackear handala(.)a
- karmabelow80(.)org
- handala-redwanted(.)a
“Los dominios incautados (…) fueron utilizados por el MOIS para promover intentos de operaciones psicológicas dirigidas a adversarios del régimen al pedir crédito por actividades de piratería, informar datos confidenciales robados durante dichos ataques y pedir el crimen de periodistas, disidentes del régimen y personas israelíes”, dijo el Sección de Jurisprudencia de Estados Unidos (DoJ).
Esto incluía los nombres y la información confidencial de aproximadamente 190 personas asociadas o empleadas por las Fuerzas de Defensa de Israel (FDI) y/o el gobierno israelí, y 851 GB de datos confidenciales de miembros de la comunidad poroto jasídica Sanzer. Adicionalmente, se alega que se utilizó una dirección de correo electrónico vinculada al familia (“handala_team@outlook(.)com”) para remitir amenazas de asesinato a disidentes y periodistas iraníes que viven en Estados Unidos y otros lugares.
En un aviso separado, el FBI reveló que Handala Hack y otros actores cibernéticos de MOIS han empleado tácticas de ingeniería social para interactuar con posibles víctimas en aplicaciones de transporte social para entregar malware de Windows capaz de permitir el acercamiento remoto persistente utilizando un bot de Telegram al encubrir la carga útil de la primera etapa como programas de uso popular como Pictory, KeePass, Telegram o WhatsApp.
El uso de Telegram (u otros servicios legítimos) como C2 es una táctica popular de los actores de amenazas para ocultar la actividad maliciosa entre el tráfico regular de la red y ceñir significativamente la probabilidad de detección. Los artefactos de malware relacionados encontrados en dispositivos comprometidos han revelado capacidades adicionales para memorizar audio y pantalla mientras una sesión de Teleobjetivo estaba activa. Los ataques han tenido como objetivo a disidentes, grupos de concurso y periodistas, según el FBI.
“Los ciberactores de MOIS son responsables de utilizar Telegram como infraestructura de comando y control (C2) para impulsar malware dirigido a disidentes iraníes, periodistas opuestos a Irán y otros grupos de concurso en todo el mundo”, dijo la oficina. “Este malware resultó en la resumen de inteligencia, fugas de datos y daños a la reputación de las partes objetivo”.
Desde entonces, Handala Hack ha resurgido en un dominio clearnet diferente, “handala-team(.)to”, donde describió las incautaciones del dominio como “intentos desesperados de Estados Unidos y sus aliados para silenciar la voz de Handala”.
El conflicto en curso todavía ha provocado nuevas advertencias de que corre el aventura de convertir a los operadores del sector de infraestructura crítica en objetivos lucrativos, incluso cuando ha desencadenado un aumento de los ataques DDoS, la desfiguración de sitios web y las operaciones de piratería y filtración contra Israel y organizaciones occidentales. Las entidades hacktivistas todavía han participado en operaciones psicológicas y de influencia con el objetivo de sembrar miedo y confusión entre las poblaciones objetivo.
En las últimas semanas, se ha observado que un familia cibercriminal relativamente nuevo llamado Nasir Security tiene como objetivo el sector energético en Medio Oriente. “El familia está atacando a los proveedores de la prisión de suministro involucrados en ingeniería, seguridad y construcción”, dijo Resecurity. “Los ataques a la prisión de suministro atribuidos a Nasir Security probablemente sean llevados a punta por cibermercenarios o individuos contratados o patrocinados por Irán o sus representantes”.
“La actividad cibernética vinculada a este conflicto se está volviendo cada vez más descentralizada y destructiva”, dijo en un comunicado Kathryn Raines, líder del equipo de inteligencia de amenazas cibernéticas de National Security Solutions en Flashpoint.
“Grupos como Handala y Fatimion están apuntando a organizaciones del sector privado con ataques diseñados para borrar datos, interrumpir servicios e introducir incertidumbre tanto para las empresas como para el conocido. Al mismo tiempo, estamos viendo un veterano uso de herramientas administrativas legítimas en estas operaciones cibernéticas, lo que hace que sea mucho más difícil de detectar para los controles de seguridad tradicionales”.
Eso no es todo. Los actores vinculados a MOIS se han involucrado cada vez más con el ecosistema de delitos cibernéticos para respaldar sus objetivos y cumplimentar cobertura a su actividad maliciosa. Esto incluye la integración por parte de Handala del descuidero Rhadamanthys en sus operaciones y el uso por parte de MuddyWater de la botnet Tsundere (todavía conocida como Dindoor) y Fakeset, el extremo de los cuales es un descargador utilizado para entregar CastleLoader.
“Dicho compromiso ofrece una doble delantera: alivio las capacidades operativas a través del acercamiento a herramientas criminales maduras y a una infraestructura resistente, al tiempo que complica la atribución y contribuye a la confusión recurrente en torno a la actividad de amenaza iraní”, dijo Check Point.
“El uso de tales herramientas ha creado una confusión significativa, lo que lleva a atribuciones erróneas y pivotamientos defectuosos, y a agrupar actividades que no están necesariamente relacionadas. Esto demuestra que el uso de software criminal puede ser efectivo para la ofuscación y resalta la indigencia de extrema precaución al analizar grupos superpuestos”.
