DAL PATEL… ALLA BRACE! – COME HANNO FATTO GLI HACKER DI STATO DELL’IRAN A BUCARE L’EMAIL DI KASH PATEL, IL DIRETTORE DELL’FBI, E PUBBLICARE CENTINAIA DI FOTO E DOCUMENTI SOTTRATTI DALL’ACCOUNT? – IL GRUPPO DI CYBERCRIMINALI “HAMDALA”, RICONDUCIBILE AL MINISTERO DELL'INTELLIGENCE E DELLA SICUREZZA DI TEHERAN, CONTATTA I SUOI OBIETTIVI CON MESSAGGI COSTRUITI SU MISURA, CALIBRATI SULLE ABITUDINI E SULLE INFORMAZIONI DISPONIBILI DI CIASCUNA VITTIMA. CHI ABBOCCA VIENE INDOTTO A CONDIVIDERE CODICI DI ACCESSO E CREDENZIALI – QUINDI PATEL HA CEDUTO DI SUA VOLONTA LE PASSWORD DELLA SUA CASELLA DI POSTA ELETTRONICA? OPPURE HA ABBOCCATO AL CLASSICO LINK-TRUFFALDINO?
Estratto dell’articolo di Roberto Cosentino per www.corriere.it
foto dalla mail di kash patel rubate dagli hacker iraniani Handala Hack
Gli hacker di Stato dell'Iran hanno bucato la casella di post di Kash Patel, direttore Fbi, e diffuso i contenuti Gli hacker iraniani di Handala hanno violato la casella di posta personale del direttore dell'Fbi Kash Patel, pubblicando online fotografie private e un campione di oltre 300 email.
Lo ha confermato venerdì l'Fbi stesso, attraverso il portavoce Ben Williamson, precisando di aver «adottato tutte le misure necessarie per mitigare i potenziali rischi» e che i dati coinvolti erano «di natura storica e non contenevano informazioni governative».
[…] Le email pubblicate sembrano mescolare corrispondenza personale e lavorativa di Patel, risalente al periodo tra il 2010 e il 2019. L'indirizzo Gmail preso di mira corrisponde a quello associato a Patel in precedenti violazioni di dati, conservate dalla società di intelligence del dark web District 4 Labs.
L'operazione rientra in una strategia più ampia. Gil Messing, capo dello staff della società israeliana di sicurezza informatica Check Point, ha definito l'attacco parte di un disegno iraniano per mettere in imbarazzo i funzionari statunitensi e «farli sentire vulnerabili». Gli iraniani, ha aggiunto, «stanno sparando con tutto ciò che hanno».
foto dalla mail di kash patel rubate dagli hacker iraniani Handala Hack
Non si tratta di un caso isolato né di una tecnica nuova. Nel 2016 hacker riconducibili alla Russia violarono l'account Gmail di John Podesta, responsabile della campagna di Hillary Clinton, riversando il materiale su WikiLeaks in un caso che ebbe una certa rilevanza nella sfida elettorale per la Casa Bianca con Donald Trump. Ancora prima, nel 2015, alcuni hacker adolescenti bucarono l'account Aol personale dell'allora direttore della Cia John Brennan, diffondendo dati su funzionari dell'intelligence.
Violazioni di questo tipo — tecnicamente poco sofisticate, ma ad alto impatto mediatico — sono coerenti con una valutazione dell'intelligence statunitense secondo cui l'Iran e i suoi alleati potrebbero rispondere agli attacchi di Usa e Israele con attacchi informatici di basso livello contro le reti digitali americane.
Chi è Handala
foto dalla mail di kash patel rubate dagli hacker iraniani Handala Hack
Handala si presenta come un collettivo di hacker vigilantes pro-Palestina, ma i ricercatori occidentali lo considerano una delle diverse identità sotto cui operano le unità di cyberintelligence del governo iraniano, riconducibili in particolare al Ministero dell'Intelligence e della Sicurezza (Mois) e al Corpo delle Guardie della Rivoluzione Islamica (Irgc). Il gruppo è attivo almeno dal 2022, quando colpì il governo dell'Albania, e nelle ultime settimane ha moltiplicato le operazioni e rivendicazioni.
foto dalla mail di kash patel rubate dagli hacker iraniani Handala Hack
[…] LE TECNICHE USATE
Il metodo operativo di Handalarispecchia quello classico dell'ingegneria sociale: gli obiettivi — giornalisti, dissidenti, attivisti, funzionari — vengono contattati via email con messaggi costruiti su misura, calibrati sulle abitudini e sulle informazioni disponibili di ciascuna vittima.
Chi abbocca viene indotto a condividere codici di accesso e credenziali; il malware viene mascherato da applicazioni comuni per sistemi Windows. Una volta compromesso il dispositivo, un bot Telegram stabilisce il collegamento remoto con gli attaccanti ed esfiltra file, screenshot e, in alcuni casi, registrazioni audio e video di sessioni Zoom.
