أعلنت مجموعة Handala Hack Team المرتبطة بوزارة الاستخبارات والأمن الإيرانية (MOIS) عن نجاحها في اختراق البريد الإلكتروني الشخصي لـ كاش باتيل، مدير مكتب التحقيقات الفيدرالي الأميركي (FBI)، وتسريب مجموعة من الصور والوثائق عبر الإنترنت. وأكدت الـFBI أن البيانات المنشورة قديمة ولا تتعلق بمعلومات حكومية، مشيرة إلى اتخاذ إجراءات لتقليل المخاطر المحتملة. التسريب شمل رسائل بريدية تعود إلى أعوام 2010 و2019.
هوية المجموعة وأساليبها
مجموعة Handala Hack تُعرف أيضًا بأسماء Banished Kitten وCobalt Mystique وRed Sandstorm وVoid Manticore. وهي واجهة هاكتيفيستية موالية لإيران وفلسطين، وتعمل تحت إشراف وزارة الاستخبارات الإيرانية. المجموعة تدير بنية تحتية متعددة المستويات تشمل مواقع على الشبكة السطحية، خدمات مخفية عبر Tor، ومنصات استضافة ملفات مثل MEGA. تقارير أمنية من Check Point وStealthMole أكدت أن المجموعة تعتمد بشكل أساسي على حسابات VPN مخترقة للوصول الأولي، مع تنفيذ محاولات تسجيل دخول جماعية وهجمات brute-force ضد البنى التحتية للمؤسسات.
الهجوم على Stryker واستخدام برمجيات ماسحة
في تطور خطير، أعلنت المجموعة مسؤوليتها عن هجوم مدمر ضد شركة Stryker الأميركية، المزود العالمي للأجهزة والخدمات الطبية، حيث تم مسح آلاف أجهزة الموظفين وحذف كميات ضخمة من البيانات. هذا الهجوم يُعتبر أول عملية مؤكدة باستخدام برمجيات ماسحة (Wiper) ضد شركة أميركية مدرجة في قائمة Fortune 500.
الهجوم اعتمد على برمجيات مثل Handala Wiper وHandala PowerShell Wiper، إضافة إلى أدوات تشفير أقراص شرعية مثل VeraCrypt لتعقيد جهود الاستعادة. وقد أكدت Stryker أن الاختراق اقتصر على بيئة Microsoft الداخلية، وأنها تمكنت من احتواء الحادث وإزالة آليات الاستمرارية التي زرعها المهاجمون.
السياق الجيوسياسي وتداعيات الهجمات
تأتي هذه العمليات في ظل تصاعد التوتر بين الولايات المتحدة وإسرائيل من جهة وإيران من جهة أخرى، حيث تستخدم طهران الهجمات السيبرانية كأداة للردع والانتقام. تقارير من Flashpoint وPalo Alto Networks Unit 42 أشارت إلى أن الهجمات الأخيرة استغلت ثغرات في إدارة الهوية عبر Microsoft Intune، إضافة إلى بيانات اعتماد مسروقة بواسطة برمجيات Infostealer.
كما أصدرت كل من Microsoft وCISA إرشادات لتعزيز حماية بيئات Windows وIntune، تضمنت تطبيق مبدأ أقل الصلاحيات، فرض مصادقة متعددة العوامل مقاومة للتصيّد، وتفعيل الموافقة المتعددة للمسؤولين على التغييرات الحساسة.
توسع النشاط واندماج مع أدوات إجرامية
المجموعة لم تكتف بالهجمات المباشرة، بل اندمجت مع أدوات من عالم الجريمة الإلكترونية مثل Rhadamanthys stealer وTsundere botnet وCastleLoader، ما يمنحها قدرات إضافية ويعقد عملية الإسناد والتحليل. هذا التداخل بين النشاط السيبراني الحكومي والأدوات الإجرامية يخلق حالة من الغموض ويزيد من صعوبة التمييز بين الهجمات المختلفة.
في الوقت نفسه، ظهرت مجموعات جديدة مثل Nasir Security تستهدف قطاع الطاقة في الشرق الأوسط، ما يعكس اتساع رقعة الصراع السيبراني وتحوله إلى ساحة مفتوحة تضم جهات حكومية ومرتزقة إلكترونيين.
