Los actores de amenazas con vínculos con Irán irrumpieron con éxito en la cuenta de correo electrónico personal de Kash Patel, director de la Oficina Federal de Investigaciones (FBI) de Estados Unidos, y filtraron un alijo de fotografías y otros documentos a Internet.

Handala Hack Team, que llevó a cabo la violación, dijo en su sitio web que Patel «ahora encontrará su nombre entre la lista de víctimas pirateadas con éxito». En una declaración compartida con Reuters, el FBI confirmado Los correos electrónicos de Patel habían sido atacados y señalaron que se habían tomado las medidas necesarias para «mitigar los riesgos potenciales asociados con esta actividad».

La agencia también dijo que los datos publicados eran «de naturaleza histórica y no involucran información gubernamental». La filtración incluye correos electrónicos de 2010 y 2019 supuestamente enviados por Patel.

Se considera que Handala Hack es una persona hacktivista pro-iraní y pro-palestina adoptada por el Ministerio de Inteligencia y Seguridad de Irán (MOÍS). La comunidad de ciberseguridad lo rastrea bajo los apodos Banished Kitten, Cobalt Mystique, Red Sandstorm y Void Manticore, y el grupo también opera otra persona llamada Homeland Justice para apuntar a entidades albanesas desde mediados de 2022.

Una tercera persona vinculada al adversario afiliado a MOIS es Karma, que se dice que probablemente fue reemplazado por completo por Handala Hack desde finales de 2023.

Los datos recopilados por StealthMole han reveló que la presencia en línea de Handala se extiende más allá de las plataformas de mensajería y foros sobre delitos cibernéticos como BreachForums para dar a conocer sus actividades, manteniendo una infraestructura en capas que incluye dominios web superficiales, servicios alojados en Tor y plataformas externas de alojamiento de archivos como MEGA.

«Handala se ha dirigido constantemente a proveedores de servicios y TI en un esfuerzo por obtener credenciales, confiando en gran medida en cuentas VPN comprometidas para el acceso inicial», Check Point dicho en un informe publicado este mes. «A lo largo de los últimos meses, identificamos cientos de intentos de inicio de sesión y de fuerza bruta contra la infraestructura VPN organizacional vinculada a la infraestructura asociada a Handala».

Se sabe que los ataques montados por el grupo de proxy aprovechan RDP para el movimiento lateral e inician operaciones destructivas al eliminar familias de malware de limpieza como Handala Wiper y Handala PowerShell Wiper a través de scripts de inicio de sesión de Política de grupo. También se utilizan utilidades legítimas de cifrado de discos como VeraCrypt para complicar los esfuerzos de recuperación.

«A diferencia de los grupos cibercriminales motivados financieramente, la actividad asociada a Handala históricamente ha enfatizado la disrupción, el impacto psicológico y las señales geopolíticas», Flashpoint dicho. «Las operaciones atribuidas a la persona con frecuencia se alinean con períodos de elevada tensión geopolítica y, a menudo, apuntan a organizaciones con valor simbólico o estratégico».

El desarrollo viene en el contexto de la Conflicto Estados Unidos-Israel-Iránlo que llevó a Irán a lanzar una ciberofensiva de represalia contra objetivos occidentales. En particular, Handala Hack crédito reclamado por paralizar las redes del proveedor de servicios y dispositivos médicos Stryker al eliminar una gran cantidad de datos de la empresa y borrar miles de dispositivos de los empleados. El ataque es el primero confirmado Operación destructiva de limpieza dirigida a una empresa estadounidense Fortune 500.

En una actualización publicada en su sitio web esta semana, Stryker dicho «El incidente está contenido», y agregó que «reaccionó rápidamente no sólo para recuperar el acceso sino también para eliminar a la parte no autorizada de nuestro entorno» desmantelando los mecanismos de persistencia instalados. El incumplimiento, afirmó, fue confinado a su entorno interno de Microsoft.

Se ha descubierto que los actores de amenazas utilizan un archivo malicioso para ejecutar comandos que les permitieron ocultar sus acciones. Sin embargo, el archivo no posee ninguna capacidad para propagarse a través de la red, señaló Stryker.

Unidad 42 de Palo Alto Networks dicho El vector principal de las recientes operaciones destructivas de Handala Hack probablemente implica la «explotación de la identidad mediante phishing y acceso administrativo». a través de Microsoft Intune.» Hudson Rock tiene encontró evidencia de que las credenciales comprometidas asociadas con la infraestructura de Microsoft obtenidas a través de malware de robo de información pueden haberse utilizado para llevar a cabo el ataque.

A raíz de la infracción, ambos microsoft y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han publicado una guía sobre cómo fortalecer los dominios de Windows y fortalecer Intune para defenderse contra ataques similares. Esto incluye utilizar el principio de privilegio mínimo, aplicar la autenticación multifactor (MFA) resistente al phishing y habilitar la aprobación de múltiples administradores en Intune para cambios sensibles.

Flashpoint ha caracterizado el ataque a Stryker como un cambio peligroso en las amenazas a la cadena de suministro, ya que la actividad cibernética vinculada al estado dirigida a proveedores críticos y de logística puede tener impactos en cascada en todo el ecosistema de atención médica.

La filtración de Handala Hack de los correos electrónicos personales de Patel se produce en respuesta a una operación autorizada por el tribunal que condujo a la incautación de cuatro dominios operados por MOIS desde 2022 como parte de un esfuerzo por interrumpir sus actividades maliciosas en el ciberespacio. El gobierno de Estados Unidos también ofreciendo una recompensa de 10 millones de dólares para obtener información sobre los miembros del grupo. Los nombres de los dominios incautados se enumeran a continuación:

• justiciapatria[.]organización
• hackear handala[.]a
• karmabelow80[.]organización
• handala-redwanted[.]a

«Los dominios incautados […] fueron utilizados por el MOIS para promover intentos de operaciones psicológicas dirigidas a adversarios del régimen al reclamar crédito por actividades de piratería, publicar datos confidenciales robados durante dichos ataques y pedir el asesinato de periodistas, disidentes del régimen y personas israelíes», dijo el Departamento de Justicia de EE.UU. (DoJ) dicho.

Esto incluía los nombres y la información confidencial de aproximadamente 190 personas asociadas o empleadas por las Fuerzas de Defensa de Israel (FDI) y/o el gobierno israelí, y 851 GB de datos confidenciales de miembros de la comunidad judía jasídica Sanzer. Además, una dirección de correo electrónico vinculada al grupo («handala_team@outlook[.]com») supuestamente se utilizó para enviar amenazas de muerte a disidentes y periodistas iraníes que viven en Estados Unidos y otros lugares.

En un aviso separado, el FBI reveló que Handala Hack y otros actores cibernéticos de MOIS han empleado tácticas de ingeniería social para interactuar con posibles víctimas en aplicaciones de mensajería social para entregar malware de Windows capaz de permitir el acceso remoto persistente utilizando un bot de Telegram al enmascarar la carga útil de la primera etapa como programas de uso común como Pictory, KeePass, Telegram o WhatsApp.

El uso de Telegram (u otros servicios legítimos) como C2 es una táctica común de los actores de amenazas para ocultar la actividad maliciosa entre el tráfico normal de la red y reducir significativamente la probabilidad de detección. Los artefactos de malware relacionados encontrados en dispositivos comprometidos han revelado capacidades adicionales para grabar audio y pantalla mientras una sesión de Zoom estaba activa. Los ataques han tenido como objetivo a disidentes, grupos de oposición y periodistas, según el FBI.

«Los ciberactores de MOIS son responsables de utilizar Telegram como infraestructura de comando y control (C2) para impulsar malware dirigido a disidentes iraníes, periodistas opuestos a Irán y otros grupos de oposición en todo el mundo», dijo la oficina. dicho. «Este malware resultó en la recopilación de inteligencia, fugas de datos y daños a la reputación de las partes objetivo».

Handala Hack tiene desde que resurgió en un dominio clearnet diferente, «handala-team[.]», donde describió las incautaciones de dominio como «intentos desesperados de Estados Unidos y sus aliados para silenciar la voz de Handala».

El conflicto en curso también tiene provocó nuevas advertencias que corre el riesgo de convertir a los operadores del sector de infraestructura crítica en objetivos lucrativos, incluso cuando ha desencadenado un aumento en ataques DDoS, desfiguraciones del sitio weby operaciones de pirateo y filtración contra Israel y Organizaciones occidentales. Las entidades hacktivistas también han comprometido en operaciones psicológicas y de influencia con el objetivo de sembrar miedo y confusión entre las poblaciones objetivo.

En las últimas semanas, se ha observado que un grupo cibercriminal relativamente nuevo llamado Nasir Security tiene como objetivo el sector energético en Medio Oriente. «El grupo está atacando a los proveedores de la cadena de suministro involucrados en ingeniería, seguridad y construcción», Resecurity dicho. «Los ataques a la cadena de suministro atribuidos a Nasir Security probablemente sean llevados a cabo por cibermercenarios o individuos contratados o patrocinados por Irán o sus representantes».

«La actividad cibernética vinculada a este conflicto se está volviendo cada vez más descentralizada y destructiva», dijo en un comunicado Kathryn Raines, líder del equipo de inteligencia de amenazas cibernéticas de National Security Solutions en Flashpoint.

«Grupos como Handala y Fatimion están apuntando a organizaciones del sector privado con ataques diseñados para borrar datos, interrumpir servicios e introducir incertidumbre tanto para las empresas como para el público. Al mismo tiempo, estamos viendo un mayor uso de herramientas administrativas legítimas en estas operaciones cibernéticas, lo que hace que sea mucho más difícil de detectar para los controles de seguridad tradicionales».

Eso no es todo. Los actores vinculados a MOIS se han involucrado cada vez más con el ecosistema de delitos cibernéticos para respaldar sus objetivos y brindar cobertura a su actividad maliciosa. Esto incluye la integración por parte de Handala del ladrón Rhadamanthys en sus operaciones y el uso por parte de MuddyWater de la botnet Tsundere (también conocida como Dindoor) y Fakeset, el último de los cuales es un descargador utilizado para entregar CastleLoader.

«Dicho compromiso ofrece una doble ventaja: mejora las capacidades operativas a través del acceso a herramientas criminales maduras y a una infraestructura resistente, al tiempo que complica la atribución y contribuye a la confusión recurrente en torno a la actividad de amenaza iraní», Check Point dicho.

«El uso de tales herramientas ha creado una confusión significativa, lo que lleva a atribuciones erróneas y pivotamientos defectuosos, y a agrupar actividades que no están necesariamente relacionadas. Esto demuestra que el uso de software criminal puede ser efectivo para la ofuscación y resalta la necesidad de extrema precaución al analizar grupos superpuestos».

Los piratas informáticos iraníes afirmaron el viernes haber comprometido los datos personales del director del FBI, Kash Patel, y la oficina confirmó que sabía del ataque al correo electrónico personal de Patel.

El grupo de hackers vinculado al gobierno, Handala, se atribuyó anteriormente el mérito de hackear al fabricante de dispositivos médicos Stryker, un alarde que los investigadores de amenazas consideraron creíble.

«Todos los correos electrónicos personales y confidenciales de Kash Patel, incluidos correos electrónicos, conversaciones, documentos e incluso archivos clasificados, ahora están disponibles para su descarga pública», dijo Handala, también conocido como Handala Hack.

El grupo dijo que lo hizo en respuesta al FBI. apoderarse de sus dominios y el gobierno de Estados Unidos ofrece una recompensa de 10 millones de dólares por información sobre miembros del grupo.

El FBI señaló que Handala ataca con frecuencia a funcionarios gubernamentales y cuestionó elementos de las afirmaciones de Handala, como que había puesto «de rodillas» los sistemas del FBI, en lugar del propio correo electrónico de Patel.

«El FBI está al tanto de actores maliciosos que apuntan a la información de correo electrónico personal del director Patel y hemos tomado todas las medidas necesarias para mitigar los riesgos potenciales asociados con esta actividad», dijo el FBI en respuesta a las preguntas de CyberScoop. «La información en cuestión es de naturaleza histórica y no involucra información gubernamental».

El grupo activista Distributed Denial of Secrets publicó lo que dijo que era el trabajo de Patel. caché de correo electrónico.

El FBI señaló al Departamento de Estado programa de recompensa buscando información sobre miembros de Handala.

«De acuerdo con la estrategia cibernética para Estados Unidos del presidente Trump, el FBI continuará persiguiendo a los actores responsables, apoyando a las víctimas y compartiendo inteligencia procesable en defensa de las redes», dijo. «Alentamos a cualquier persona que experimente una infracción cibernética o tenga información relacionada con una actividad cibernética maliciosa a que se comunique con su oficina local del FBI».

El director nacional cibernético, Sean Cairncross, dijo el martes que la administración Trump no aspira a reclutar al sector privado para realizar operaciones cibernéticas ofensivas, sino a ayudar al gobierno manteniéndolo al tanto de las amenazas que enfrenta.

La estrategia cibernética nacional recientemente publicada habla de incentivar a las empresas para que interrumpan las redes de los adversarios.

«No me refiero al sector privado, la industria o las empresas que participan en una campaña ciberofensiva», dijo Cairncross en un evento organizado por el Instituto McCrary de la Universidad de Auburn. “A lo que me refiero es a las capacidades técnicas, la capacidad de nuestro sector privado para iluminar el campo de batalla a partir de lo que están viendo, para informar y compartir información para que el gobierno de los EE.UU. [U.S. government] puedo responder para adelantarme a las cosas”.

La idea de permitir a las empresas estadounidenses emprender campañas disruptivas u ofensivas contra piratas informáticos malintencionados, o al menos ayudar en las operaciones ofensivas del gobierno estadounidense, ha vuelto a ganar fuerza en algunos círculos republicanos en los últimos años. Algunas empresas han mostrado interés en hacerlo, especialmente si se cambian las leyes para hacerlo más viable.

Esa tendencia coincide con los crecientes llamados de los funcionarios de la administración Trump (y ahora con la publicación de la estrategia de ciberseguridad) para pasar a la ofensiva contra los piratas informáticos, aunque Cairncross enfatizó nuevamente que el pilar de la estrategia para “dar forma al comportamiento del adversario” no se trata solo de llevar a cabo campañas ciberofensivas, sino de utilizar otros mecanismos gubernamentales para presionar a los piratas informáticos, ya sean legales o diplomáticos.

El gobierno puede dar forma al «cálculo de riesgo» «de una manera más ágil» con la ayuda del sector privado, dijo.

Hay una enorme capacidad por parte del sector privado, y ahora tenemos una lanza del gobierno de Estados Unidos… estamos buscando una asociación real”, dijo Cairncross.

Una forma en la que el gobierno estadounidense ha tratado de llevar la lucha a los ciberadversarios son las “operaciones conjuntas secuenciadas” del FBI, utilizadas para degradar sus capacidades. En el mismo evento, el jefe de la división cibernética de la oficina dijo que el sector privado también era clave para esas operaciones.

“Cada una de las operaciones conjuntas secuenciadas que lleva a cabo el FBI para eliminar esa capacidad de la que hablé (de los rusos, de los chinos, de los iraníes y otros) ocurre porque una víctima se presentó y se comprometió con el FBI”, dijo Brett Leatherman.

“Una conclusión para todos aquí es '¿Cuál es su plan de acción en caso de una infracción para involucrar a su oficina local del FBI?'”, preguntó. «Yo diría que hay muy poca responsabilidad al hacerlo, y estamos felices de tener conversaciones con sus abogados externos o internos, pero hay mucho que ganar al hacerlo».

Madhu Gottumukkala dejó el cargo de director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad, y el actual director ejecutivo de ciberseguridad de la agencia, Nick Andersen, lo reemplazó como líder interino.

La noticia de la salida de Gottumukkala llega un día después de que CyberScoop informara sobre la consternación generalizada por el desempeño de la agencia durante el primer año de la administración Trump, con importantes críticas dirigidas al liderazgo de Gottumukkala en ambos lados del pasillo después de una serie de historias poco halagadoras sobre su gestión.

“Madhu Gottumukkala ha hecho un trabajo extraordinario en la ingrata tarea de ayudar a reformar la CISA para que vuelva a su misión estatutaria central”, dijo a CyberScoop el jueves un funcionario del Departamento de Seguridad Nacional. “Abordó la burocracia despierta, armada e inflada que existía en CISA, negociando contratos para ahorrar dólares de los contribuyentes estadounidenses”.

Gottumukkala, se desempeñó como director de información bajo la entonces gobernadora de Dakota del Sur, Kristi Noem, ahora secretaria del DHS, antes de ser elegido subdirector de la agencia. La nominación de Sean Plankey para desempeñarse como director a tiempo completo de CISA se ha estancado, dejando a Gottumukkala como director interino en su lugar.

Gottumukkala asumirá un nuevo rol en el DHS, como director de implementación estratégica. Andersen ha obtenido críticas más favorables de la industria y los profesionales cibernéticos durante su mandato en CISA que Gottumukkala, a quien algunos todavía elogian por su perspicacia técnica.

ABC Noticias reportado por primera vez las noticias sobre los movimientos de Gottumukkala y Andersen. La noticia llega el mismo día que se informa sobre otro cambio de liderazgo en la agencia, con Cybersecurity Dive. primer informe sobre la salida de Robert Costello como CIO de CISA.

Si bien algunos funcionarios con los que CyberScoop habló esta semana para su artículo sobre CISA creían que la agencia tenía cierta duplicación, la mayoría pensó que la administración Trump había hecho recortes mucho más profundos de lo necesario, dañando a la agencia.

Andersen ha ocupado varios puestos en TI y ciberseguridad en el sector público durante las últimas dos décadas, incluidos puestos en la Guardia Costera, la Marina y el Departamento de Energía.