ФБР конфисковало два веб-сайта, используемых хактивистской группой Handala, после того как злоумышленники провели разрушительную кибератаку на гиганта медицинских технологий Stryker, в результате которой было стерто около 80 000 устройств.
На обоих доменах хактивистов, handala-redwanted[.]to и handala-hack[.]to, теперь отображается уведомление о конфискации, в котором говорится, что веб-сайты были изъяты на основании ордера на конфискацию, выданного Окружным судом округа Мэриленд.
“Этот домен был конфискован Федеральным бюро расследований («ФБР») на основании ордера на конфискацию, выданного Окружным судом Соединенных Штатов по округу Мэриленд в рамках правоохранительной операции ФБР. Правоохранительные органы установили, что этот домен использовался для проведения, содействия или поддержки вредоносной кибердеятельности от имени или в координации с иностранным государственным субъектом”, — гласит сообщение о конфискации.
“Эта деятельность может включать несанкционированное проникновение в сеть, атаки на инфраструктуру или другие нарушения законодательства Соединенных Штатов”.
“Во исполнение ордера, санкционированного судом, правительство Соединенных Штатов взяло под контроль этот домен для пресечения продолжающихся вредоносных киберопераций и предотвращения дальнейшей эксплуатации”.
Handala (также известная как Handala Hack Team, Hatef, Hamsa) — это связанная с Ираном пропалестинская хактивистская группа, появившаяся в декабре 2023 года, чьи операции, как сообщается, связаны с Министерством разведки и безопасности Ирана (MOIS). Эти атаки были направлены против израильских организаций с использованием разрушительного вредоносного ПО, предназначенного для стирания данных с устройств под управлением Windows и Linux.
Хотя официальных заявлений правоохранительных органов о конфискациях не поступало, серверы доменных имен были переключены на те, которые обычно используются ФБР при конфискации доменов:
Name Server: ns1.fbi.seized.gov
Name Server: ns2.fbi.seized.govНеизвестно, конфисковало ли ФБР только домены или также получило доступ к содержимому веб-сайтов и журналам серверов.
Этот шаг последовал за масштабной кибератакой Handala на американского гиганта Stryker, в ходе которой они скомпрометировали учетную запись администратора домена Windows и создали новую учетную запись глобального администратора для использования в своей атаке.
Затем они отправили команду Microsoft Intune “стереть” для заводской перезагрузки примерно 80 000 устройств, включая компьютеры и мобильные устройства. Сотрудники, чьи личные устройства управлялись компанией, также обнаружили, что их устройства были стерты.
Handala признала факт конфискации веб-сайтов и необходимость в более “устойчивой инфраструктуре”, заявив, что они находятся в процессе создания новых веб-сайтов для анонсирования своих атак.
“В свете последних событий и необходимости создания безопасной и устойчивой инфраструктуры сообщаем вам, что создание новой цифровой базы — сложный и трудоемкий процесс”, — говорится в сообщении группы в Telegram.
“Тем не менее, мы по-прежнему привержены продолжению нашей миссии без перебоев”.
После атаки Microsoft и CISA опубликовали рекомендации по укреплению доменов Windows и обеспечению безопасности Intune для предотвращения подобных атак в других компаниях.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
