Sinds de Verenigde Staten en Israël eerst losgelaten een brede campagne van luchtaanvallen in heel Iran Eind februari heeft de cyberbeveiligingsindustrie gewaarschuwd dat de vergeldingsmaatregelen van het land onder meer bestraffende, ontwrichtende cyberaanvallen tegen westerse doelen zouden omvatten. Dinsdagavond laat arriveerde de eerste van die aanvallen in de VS: een verwoestende inbreuk op het medische technologiebedrijf Stryker dat heeft naar verluidt maar liefst tienduizenden computers uitgeschakeld en een groot deel van de wereldwijde activiteiten van het bedrijf lamgelegd – allemaal uitgevoerd door een Iraanse hackergroep die zichzelf Handala noemt.
“We kondigen aan de wereld aan dat, als vergelding voor de brutale aanval op de Minab-school en als reactie op de voortdurende cyberaanvallen op de infrastructuur van de As van het Verzet, onze grote cyberoperatie met volledig succes is uitgevoerd”, aldus een verklaring op de website van Handala, waarin wordt verwezen naar zowel de Amerikaanse Tomahawk raket dat heeft tenminste gedood 165 burgers bij een meisjesschool in Iran en talrijk hackoperaties die de VS en Israël hebben uitgevoerd als onderdeel van de aanvallen van de twee landen op Iran. “Dit is slechts het begin van een nieuw tijdperk van cyberoorlogvoering.”
Zelfs onder Amerikaanse cybersecurityonderzoekers die door de staat gesponsorde hackgroepen op de voet volgen, heeft Handala – dat zijn naam ontleent aan het bekende Handala-personage in de politieke cartoons van de Palestijnse kunstenaar Naji al-Ali – tot nu toe nauwelijks veel bekendheid verworven. Maar degenen die de evolutie van de groep hebben gevolgd, vooral in de Israëlische cyberbeveiligingsindustrie, zeggen dat de groep nu algemeen wordt beschouwd als een dekmantel voor het Iraanse Ministerie van Inlichtingen, oftewel MOIS. Ze hebben gezien dat de hackers de meest prominente speler zijn geworden in een golf van cyberoperatoren van de Iraanse staat die zich voordoen als hacktivisten terwijl ze proberen luidruchtige, vaak politiek gemotiveerde chaos te veroorzaken bij tegenstanders. Handala, of dezelfde groep die onder eerdere namen opereert, voert al jaren datavernietigings- en hack-en-lek-operaties uit tegen doelen variërend van de Albanese regering tot Israëlische bedrijven en politieke functionarissen.
Nu, zoals dat van Iran Het regime wordt geconfronteerd met een existentiële dreiginghebben de hackers ervan – en Handala in het bijzonder – waarschijnlijk de taak gekregen om elk instrument dat ze in reserve hebben gehouden en elke voet aan de grond die ze stilletjes binnen een westers netwerk hebben verworven, te gebruiken om terug te vechten tegen de VS en Israël, zegt Sergey Shykevich, die leiding geeft aan het onderzoek naar bedreigingsinformatie bij het in Tel Aviv gevestigde cyberbeveiligingsbedrijf Check Point. ‘Ze zijn er allemaal bij,’ zegt Sjjkevitsj. “Ze proberen nu alles te doen wat ze kunnen om destructieve activiteiten uit te voeren.”
Binnen die inspanning van Iraanse staatsgesponsorde hackbureaus om luide, publiekelijk zichtbare digitale vergelding te bereiken, is Handala uitgegroeid tot “waarschijnlijk de meest dominante groep”, zegt Shykevich. “Zij zijn nu het belangrijkste gezicht.”
Hoewel hackgroepen de neiging hebben hun successen en de impact van hun activiteiten te overdrijven of te verfraaien, heeft Handala sinds het begin van de oorlog twee weken geleden publiekelijk meer dan een dozijn, voornamelijk Israëlische, slachtoffers geëist. De groep heeft “het luidruchtige, chaotische speelboek van een hacktivistische groep gecombineerd met de destructieve capaciteiten van een natiestaat”, zegt Justin Moore, een onderzoeker op het gebied van bedreigingsinformatie bij de Unit 42-groep van beveiligingsbedrijf Palo Alto Networks, die Handala “een primaire cybervergeldingstak voor het Iraanse regime” noemt.
Ondanks de chaos die het heeft veroorzaakt, mag het strategische denken van Handala niet worden overschat, zegt Rafe Pilling, directeur dreigingsinformatie bij de X-Ops-groep van cyberbeveiligingsbedrijf Sophos. Handala lijkt te proberen snel toegang te krijgen tot organisaties en zoveel mogelijk schade aan te richten te midden van Amerikaanse en Israëlische luchtaanvallen die naar verluidt getroffen delen van de cyberoperaties van Iran. “Dit heeft niet de kenmerken van een plan”, zegt Pilling over de recente hackcampagne van Handala. “Het is waarschijnlijk dat de groep momenteel op zoek is naar kansen die ze kunnen treffen in Israël of de VS, om aan te tonen dat ze een soort vergeldingseffect hebben, maar niet vanuit enig strategisch perspectief.”
