По состоянию на четверг содержимое веб-сайта, на котором группа Handala публиковала информацию о своих взломах, а также другого сайта, который группа использовала для публикации личных данных десятков людей из-за их предполагаемых связей с израильскими военными и оборонными подрядчиками, такими как Elbit Systems и NSO Group, было заменено баннером, объявляющим о действиях правоохранительных органов.
В объявлении об изъятии не указано, почему ФБР и Министерство юстиции закрыли эти веб-сайты. Однако формулировки в них, по-видимому, указывают на то, что власти США полагали, что эти сайты управляются хакерами, связанными с иностранным государством.
«Правоохранительные органы определили, что этот домен использовался для проведения, содействия или поддержки вредоносной киберактивности от имени или в координации с иностранным государственным субъектом», — гласило объявление об изъятии. «Правительство Соединенных Штатов взяло под контроль этот домен, чтобы пресечь продолжающиеся вредоносные кибероперации и предотвратить дальнейшую эксплуатацию».
TechCrunch подтвердил изъятие веб-сайта, изучив записи его неймсерверов, которые теперь указывают на серверы, контролируемые ФБР.
ФБР и Министерство юстиции не сразу ответили на запрос TechCrunch о комментарии.
В серии объявлений, опубликованных в четверг в официальном Telegram-канале группы, Handala признала, что их веб-сайты были отключены, назвав изъятие «отчаянной попыткой заставить замолчать наш голос».
«Этот акт цифровой агрессии лишь подчеркивает страх и тревогу, которые наши действия вселили в сердца тех, кто угнетает и обманывает», — написали хакеры. «Хотя они пытаются стереть доказательства и скрыть свои преступления посредством цензуры и запугивания, их действия лишь подтверждают влияние нашей миссии. Стремление к справедливости нельзя остановить, закрыв веб-сайт; движение за правду будет продолжаться и крепнуть».
Аккаунт Handala в X также был недавно заблокирован.
Группа не ответила на сообщение, отправленное в их официальный чат-аккаунт.
Handala активна как минимум с 7 октября 2023 года, со времени атак ХАМАС, и, как полагают, имеет связи с иранским режимом. На прошлой неделе группа заявила о своей причастности к атаке на американскую медицинскую компанию Stryker, в которой работают более 56 000 сотрудников в десятках стран. Хакеры заявили, что взлом был ответом на ракетный удар правительства США по иранской школе, в результате которого погибло не менее 175 человек, большинство из них — дети.
В прошлом году Stryker подписала контракт на 450 миллионов долларов на поставку медицинского оборудования для Министерства обороны.
Сообщается, что Handala взломала учетную запись администратора Stryker, получив почти неограниченный доступ к сети Windows компании. На этом этапе хакеры, как утверждается, захватили панели управления Intune от Stryker — инструмент, предназначенный для удаленного управления ноутбуками и мобильными устройствами сотрудников, что включало возможность удаления данных.
Имея доступ к этим панелям, хакеры, по сообщениям, смогли стереть данные с устройств, принадлежащих как компании, так и ее сотрудникам.
Во вторник Stryker сообщила, что все еще восстанавливает свои компьютеры и внутреннюю сеть после взлома.
Нариман Гариб, иранский активист из Великобритании и независимый следователь по кибершпионажу, сообщил TechCrunch, что закрытие сайтов — это хорошая новость.
«Их организационная и управленческая структура в настоящее время нарушена, и в любой момент члены этой группы могут стать объектами ракетных ударов, как и другие киберсилы режима», — сказал Гариб TechCrunch.
«Но это не означает, что их деятельность прекратится — нет. Возможно, будущие утечки будут опубликованы этой группой через СМИ, близкие к КСИР», — сказал он, имея в виду военные силы страны.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lorenzo Franceschi-Bicchierai
