Da dove arriva e cosa vuole Handala
Finora Handala – che prende il suo nome da un noto protagonista delle vignette politiche dell’artista palestinese Naji al-Ali – non ha raccolto grande notorietà. Ma chi ne ha seguito l’evoluzione, in particolare nel settore della sicurezza informatica israeliana, sottolinea che l’opinione diffusa è che dietro il collettivo si celi il ministero dell’Intelligence iraniano, o Mois. L’organizzazione è diventata l’attore di maggior rilievo in una costellazione di operatori informatici controllati dal regime iraniano, che si presentano come hacktivisti ma cercano di colpire gli avversari in modo rumoroso e spesso per motivi politici. Negli anni, Handala, che in passato si è presentato anche con nomi diversi, ha lanciato operazioni contro bersagli che vanno dal governo albanese a imprese e funzionari politici israeliani, con l’obiettivo di distruggere dati oppure violare i sistemi delle vittime per poi pubblicarne il contenuto.
Ora che si trova ad affrontare una minaccia esistenziale, è probabile che il regime di Teheran abbia incaricato i suoi cybercriminali – e in particolare Handala – di ricorrere a ogni strumento nel proprio arsenale e a ogni punto d’appoggio all’interno delle reti occidentali per contrastare gli Stati Uniti e Israele, afferma Sergey Shykevich, responsabile dell’intelligence delle minacce presso la società di cybersicurezza israeliana Check Point. “Hanno fatto all-in“, dice. “Stanno cercando di fare tutto il possibile per portare avanti operazioni rovinose“.
Nel contesto delle organizzazioni finanziate dall’Iran che hanno il compito di punire i nemici del regime con cyberattacchi d’impatto e ben visibili, Handala è cresciuta fino a diventare “probabilmente il gruppo più dominante“, dice Shykevich. “Ora sono loro il volto principale“.
Pur tenendo presente che i gruppi di criminali informatici sono notoriamente inclini a esagerare o “infiocchettare” i loro successi e l’impatto delle proprie azioni, Handala ha rivendicato pubblicamente di aver colpito oltre una dozzina di vittime, per lo più israeliane, dall’inizio della guerra. Il gruppo ha “combinato il rumoroso e caotico manuale d’azione di un gruppo di hacktivisti con le capacità distruttive di uno stato nazionale“, afferma Justin Moore, ricercatore che si occupa di intelligence delle minacce per il gruppo Unit 42 della società di sicurezza Palo Alto Networks, e che definisce Handala il “braccio principale della cyber-ritorsione del regime iraniano“.
Strategie, obiettivi e configurazioni
Nonostante il caos che è riuscita a scatenare, le capacità strategiche di Handala non vanno sopravvalutate, afferma Rafe Pilling, direttore dell’intelligence sulle minacce di un’unità che fa parte della società di sicurezza informatica Sophos. L’impressione è che il gruppo stia cercando di guadagnare rapidamente l’accesso alle organizzazioni bersaglio e infliggere quanti più danni possibili nel bel mezzo degli attacchi aerei statunitensi e israeliani (che avrebbero colpito anche le operazioni informatiche dell’Iran). “Non ci sono i tratti distintivi di un piano“, osserva Pilling a proposito della campagna avviata da Handala. “È probabile che attualmente stiano cercando obiettivi casuali da colpire in Israele o negli Stati Uniti“.
