ФБР вилучило вебсайти проіранської хакерської групи після руйнівного зламу Stryker

ФБР вилучило та видалило два вебсайти, пов'язані з проіранською хактивістською групою Handala, яка минулого тижня взяла на себе відповідальність за руйнівну кібератаку на американського медичного технологічного гіганта Stryker. 

Станом на четвер вміст веб-сайту, на якому Handala публікувала інформацію про свої хакерські атаки, а також іншого веб-сайту, який група використовувала для розслідування десятків людей щодо їхніх ймовірних зв'язків з ізраїльськими військовими та оборонними підрядниками, такими як Elbit Systems та NSO Group, було замінено банером, що сповіщає про дії правоохоронних органів. 

У повідомленні про вилучення не уточнювалося, чому ФБР та Міністерство юстиції заблокували ці вебсайти. Але формулювання в них, схоже, вказує на те, що влада США вважала, що цими сайтами керували хакери, пов'язані з іноземним урядом.

«Правоохоронні органи визначили, що цей домен використовувався для проведення, сприяння або підтримки зловмисної кібердіяльності від імені або у координації з іноземним державним суб’єктом», – йдеться в оголошенні про вилучення. «Уряд Сполучених Штатів взяв під контроль цей домен, щоб зірвати поточні зловмисні кібероперації та запобігти подальшому використанню».

TechCrunch підтвердив вилучення вебсайту, перевіривши записи його іменних серверів, які тепер вказують на сервери, контрольовані ФБР. 

ФБР та Міністерство юстиції не одразу відповіли на запит TechCrunch про коментар.

У серії оголошень, опублікованих на офіційному каналі групи в Telegram у четвер, Handala визнала, що її вебсайти були відключені, назвавши вилучення «відчайдушною спробою заглушити наш голос».

«Цей акт цифрової агресії лише підкреслює страх і тривогу, які наші дії вселили в серця тих, хто гнобить і обманює», – написали хакери. «Хоча вони намагаються стерти докази та приховати свої злочини за допомогою цензури та залякування, їхні дії лише підтверджують вплив нашої місії. Прагнення до справедливості не можна зупинити, закривши вебсайт, рух за правду продовжуватиметься та міцнітиме».

Обліковий запис Handala X також нещодавно було заблоковано.

Група не відповіла на повідомлення, надіслане на їхній офіційний акаунт у чаті. 

Handala активно діяла щонайменше з 7 жовтня 2023 року, коли ХАМАС атакував її, і вважається, що вона має зв'язки з іранським режимом. Минулого тижня група взяла на себе відповідальність за атаку на американську медичну компанію Stryker, яка має понад 56 000 співробітників у десятках країн. Хакери заявили, що злом був відповіддю на ракетний удар уряду США по іранській школі, в результаті якого загинуло щонайменше 175 людей, більшість з яких були дітьми. 

Минулого року Stryker підписала контракт на 450 мільйонів доларів на постачання медичного обладнання Міністерству оборони.

Повідомляється, що Хандала зламав внутрішній обліковий запис адміністратора Stryker, отримавши майже необмежений доступ до мережі Windows компанії. У цей момент хакери нібито захопили панелі інструментів Stryker Intune – інструмент, розроблений для того, щоб компанія могла дистанційно керувати ноутбуками та мобільними пристроями співробітників, що включало можливість видалення даних. 

Маючи доступ до цих панелей керування, хакери, як повідомляється, змогли стерти дані з пристроїв, що належать як компанії, так і її співробітникам. 

У вівторок Stryker заявила, що досі відновлює свої комп'ютери та внутрішню мережу після злому. 

Наріман Гаріб, іранський активіст та незалежний слідчий з питань кібершпигунства, що мешкає у Великій Британії, розповів TechCrunch, що блокування – це гарна новина.

«Їхня організаційна та управлінська структура наразі порушена, і будь-якої миті члени цієї групи можуть стати мішенню ракетних ударів, як і інші кіберсили режиму», – сказав Гаріб виданню TechCrunch. 

«Але це не означає, що їхня діяльність може припинитися — ні. Можливо, що в майбутньому ця група може опублікувати витоки інформації через ЗМІ, близькі до КВІР», — сказав він, маючи на увазі військових країни.