Το FBI κατέλαβε τον ιστότοπο διαρροής δεδομένων Handala μετά την κυβερνοεπίθεση του Stryker

Το FBI κατέσχεσε δύο ιστοτόπους που χρησιμοποιούνται από την ομάδα χακτιβιστών Handala, μετά από μια καταστροφική κυβερνοεπίθεση στον κολοσσό της ιατρικής τεχνολογίας Stryker που εξαφάνισε περίπου 80.000 συσκευές.

Χαντάλα-redwanted και οι δύο του hacktivist[.]να και handala-hack[.]στους τομείς clearnet εμφανίζουν τώρα μια ειδοποίηση κατάσχεσης που αναφέρει ότι οι ιστότοποι κατασχέθηκαν βάσει εντάλματος κατάσχεσης που εκδόθηκε από το Επαρχιακό Δικαστήριο για την Περιφέρεια του Μέριλαντ.

“Αυτός ο τομέας κατασχέθηκε από το Ομοσπονδιακό Γραφείο Ερευνών (“FBI”) σύμφωνα με ένα ένταλμα κατάσχεσης που εκδόθηκε από ένα περιφερειακό δικαστήριο των Ηνωμένων Πολιτειών για την Περιφέρεια του Μέριλαντ ως μέρος μιας ενέργειας επιβολής του νόμου από το FBI. Οι αρχές επιβολής του νόμου διαπίστωσαν ότι αυτός ο τομέας χρησιμοποιήθηκε για τη διεξαγωγή, τη διευκόλυνση ή την υποστήριξη κακόβουλων δραστηριοτήτων σε ξένη πολιτεία.” μήνυμα κατάσχεσης.

“Αυτές οι δραστηριότητες μπορεί να περιλαμβάνουν μη εξουσιοδοτημένες εισβολές στο δίκτυο, στόχευση υποδομής ή άλλες παραβιάσεις της νομοθεσίας των Ηνωμένων Πολιτειών.”

“Σύμφωνα με το δικαστικό ένταλμα, η κυβέρνηση των Ηνωμένων Πολιτειών έχει αναλάβει τον έλεγχο αυτού του τομέα για να διακόψει τις συνεχιζόμενες κακόβουλες επιχειρήσεις στον κυβερνοχώρο και να αποτρέψει περαιτέρω εκμετάλλευση.”

Η Handala (επίσης γνωστή ως Handala Hack Team, Hatef, Hamsa) είναι μια συνδεδεμένη με το Ιράν, φιλοπαλαιστινιακή ομάδα χακτιβιστών που εμφανίστηκε για πρώτη φορά τον Δεκέμβριο του 2023 και διεξήγαγε επιχειρήσεις σύμφωνα με πληροφορίες συνδέεται με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS). Αυτές οι επιθέσεις στόχευαν ισραηλινούς οργανισμούς με καταστροφικό κακόβουλο λογισμικό που έχει σχεδιαστεί για να σκουπίζει συσκευές Windows και Linux.

Αν και δεν έχει υπάρξει επίσημη ανακοίνωση από τις αρχές επιβολής του νόμου σχετικά με τις κατασχέσεις, οι διακομιστές ονομάτων τομέα έχουν πλέον αλλάξει σε αυτούς που χρησιμοποιούνται συνήθως από το FBI κατά την κατάσχεση τομέων:

Name Server: ns1.fbi.seized.gov
Name Server: ns2.fbi.seized.gov

Δεν είναι γνωστό εάν το FBI κατέσχεσε μόνο τους τομείς ή έχει επίσης πρόσβαση στο περιεχόμενο και τα αρχεία καταγραφής διακομιστή του ιστότοπου.

Αυτή η ενέργεια ακολουθεί τη μαζική κυβερνοεπίθεση του Handala στον αμερικανικό ιατρικό γίγαντα Stryker, κατά την οποία παραβίασε έναν λογαριασμό διαχειριστή τομέα των Windows και δημιούργησε έναν νέο λογαριασμό Global Administrator για χρήση στην επίθεσή του.

Στη συνέχεια εξέδωσαν το Microsoft Intune “σκουπίζω” εντολή για επαναφορά εργοστασιακών ρυθμίσεων περίπου 80.000 συσκευών, συμπεριλαμβανομένων των υπολογιστών και των φορητών συσκευών. Οι εργαζόμενοι των οποίων οι προσωπικές συσκευές διαχειριζόταν η εταιρεία, βρήκαν επίσης τις συσκευές τους σκουπισμένες.

Η Handala έχει αναγνωρίσει τις κατασχέσεις ιστοτόπων και την ανάγκη για πιο «ανθεκτική υποδομή», δηλώνοντας ότι βρίσκονται στη διαδικασία δημιουργίας νέων ιστοσελίδων για να ανακοινώσουν τις επιθέσεις τους.

«Υπό το φως των πρόσφατων γεγονότων και της ανάγκης δημιουργίας ασφαλών και ανθεκτικών υποδομών, σας ενημερώνουμε ότι η οικοδόμηση μιας νέας ψηφιακής βάσης είναι μια περίπλοκη και χρονοβόρα διαδικασία», αναφέρεται σε μια ανάρτηση στο Telegram από την ομάδα.

«Ωστόσο, παραμένουμε προσηλωμένοι στη συνέχιση της αποστολής μας χωρίς διακοπή».

Μετά την επίθεση, Microsoft και η CISA κυκλοφόρησαν οδηγίες σχετικά με τη σκλήρυνση των τομέων των Windows και την ασφάλεια του Intune για την αποτροπή παρόμοιων επιθέσεων σε άλλες εταιρείες.