Sejak Amerika Amerika dan Israel pertama kali dilepaskan kampanye yang luas serangan udara di seluruh Iran pada akhir bulan Februari, industri keamanan siber telah memperingatkan bahwa tindakan pembalasan negara tersebut akan mencakup serangan siber yang bersifat menghukum dan mengganggu terhadap sasaran-sasaran Barat. Selasa larut malam, serangan pertama terjadi di AS: sebuah pelanggaran besar terhadap perusahaan teknologi medis penyerang yang mempunyai dilaporkan melumpuhkan puluhan ribu komputer dan melumpuhkan sebagian besar operasi global perusahaan—semuanya dilakukan oleh kelompok peretas Iran yang menamakan dirinya Handala.
“Kami mengumumkan kepada dunia bahwa, sebagai pembalasan atas serangan brutal terhadap sekolah Minab dan sebagai respons terhadap serangan siber yang sedang berlangsung terhadap infrastruktur Poros Perlawanan, operasi siber besar kami telah dilaksanakan dengan sukses total,” bunyi sebuah pernyataan yang diposting di situs web Handala, merujuk pada kedua hal tersebut. Tomahawk Amerika misil setidaknya itu membunuh 165 warga sipil di a sekolah perempuan di Iran dan banyak lagi operasi peretasan yang dilakukan AS dan Israel sebagai bagian dari serangan kedua negara terhadap Iran. “Ini hanyalah permulaan dari era baru perang siber.”
Bahkan di kalangan peneliti keamanan siber Amerika yang memantau dengan cermat kelompok peretasan yang disponsori negara, Handala—yang namanya diambil dari karakter terkenal Handala dalam kartun politik seniman Palestina Naji al-Ali—hingga kini belum banyak mendapat ketenaran. Namun mereka yang mengikuti perkembangan kelompok tersebut, khususnya di industri keamanan siber Israel, mengatakan bahwa kelompok tersebut kini diyakini secara luas sebagai kedok Kementerian Intelijen Iran, atau MOIS. Mereka telah melihat para peretas menjadi pemain paling menonjol dalam gelombang operator siber negara Iran yang berpura-pura sebagai peretas sambil berusaha menimbulkan kekacauan, yang sering kali bermotif politik, terhadap musuh. Handala, atau kelompok yang sama yang beroperasi dengan nama sebelumnya, telah melancarkan operasi penghancuran dan peretasan data selama bertahun-tahun terhadap sasaran mulai dari pemerintah Albania hingga bisnis dan pejabat politik Israel.
Sekarang, seperti Iran rezim menghadapi ancaman eksistensialpara peretasnya—dan Handala khususnya—kemungkinan ditugaskan untuk menggunakan setiap alat yang mereka miliki dan setiap pijakan yang mereka peroleh secara diam-diam di dalam jaringan Barat untuk melawan AS dan Israel, kata Sergey Shykevich, yang memimpin penelitian intelijen ancaman di perusahaan keamanan siber Check Point yang berbasis di Tel-Aviv. “Semuanya ada di sini,” kata Shykevich. “Mereka mencoba melakukan apa pun yang mereka bisa untuk melakukan aktivitas destruktif.”
Dalam upaya yang dilakukan oleh agen peretasan yang disponsori negara Iran untuk mencapai retribusi digital yang nyata dan terlihat oleh publik, Handala telah tumbuh menjadi “kelompok yang mungkin paling dominan,” kata Shykevich. “Mereka adalah wajah utama sekarang.”
Meskipun kelompok peretas cenderung membesar-besarkan atau membumbui keberhasilan dan dampak aktivitas mereka, Handala telah secara terbuka mengklaim lebih dari selusin korban, sebagian besar warga Israel, sejak dimulainya perang dua minggu lalu. Kelompok ini “menggabungkan pedoman kelompok hacktivist yang berisik dan kacau dengan kemampuan destruktif sebuah negara,” kata Justin Moore, seorang peneliti intelijen ancaman di kelompok Unit 42 perusahaan keamanan Palo Alto Networks, yang menyebut Handala sebagai “tangan utama pembalasan dunia maya bagi rezim Iran.”
Meskipun terjadi kekacauan, pemikiran strategis Handala tidak boleh diremehkan, kata Rafe Pilling, direktur intelijen ancaman di grup X-Ops milik perusahaan keamanan siber Sophos. Handala tampaknya berusaha mendapatkan akses ke organisasi-organisasi dengan cepat dan melakukan tindakan apa pun yang dapat merusaknya di tengah serangan udara AS dan Israel yang telah menghancurkan negara-negara tersebut. dilaporkan menyerang bagian dari operasi siber Iran. “Ini bukanlah sebuah rencana,” kata Pilling tentang kampanye peretasan Handala baru-baru ini. “Kelihatannya kelompok ini sedang mencari peluang yang bisa mereka capai di Israel atau AS, untuk menunjukkan bahwa mereka mempunyai semacam efek pembalasan, namun tidak dari sudut pandang strategis apa pun.”
Peneliti keamanan pertama kali melihat merek “Handala” digunakan menjelang akhir tahun 2023, muncul setelahnya Serangan 7 Oktober oleh Hamas terhadap Israel dan negara berikutnya pemboman di Gaza. Ketika Handala pertama kali muncul, kata Alexander Leslie, seorang analis intelijen ancaman di perusahaan keamanan Recorded Future, Handala tampaknya memiliki kepribadian publik sebagai kelompok “hacktivist pro-Palestina”, namun peretasan yang dilakukannya selaras dengan kepentingan Iran dan dikaitkan kembali dengan rezim. Secara publik, Handala dengan lantang mempromosikan peretasan yang diklaimnya pada akun Telegram dan X, dan telah menjalankan situs web publik yang memposting pembaruan mengenai serangan tersebut. Ia juga mengandalkan konektivitas internet satelit Starlink untuk menerobos Pemadaman internet yang kejam di IranForbes baru-baru ini dilaporkan.
Selama beberapa tahun terakhir, kata Leslie, Handala telah terlibat dalam berbagai operasi peretasan dan kebocoran, mempublikasikan rincian banyak korbannya di Israel sebagai “senjata psikologis.” Namun kelompok tersebut juga menggunakan malware wiper yang merusak untuk menghapus file korban, sehingga memberikan dampak yang mendalam pada sistem mereka dan menunjukkan kehadiran yang lebih canggih yang bertujuan menyebabkan “kesulitan operasional yang nyata,” seperti yang dikatakan Leslie. Operasi Handala “konsisten dengan preferensi Teheran yang lebih luas terhadap arsitektur proxy dan cutout yang menggabungkan penyangkalan dengan dampak psikologis,” katanya.
Faktanya, Check Point menemukan bahwa Handala hanyalah salah satu dari beberapa kelompok hacktivist yang dikatakannya—berdasarkan koneksi malware dan infrastruktur server grup tersebut—semua mewakili satu kelompok peretas yang disponsori negara yang mereka sebut Void Manticore. Check Point telah melacak asal usul grup yang terkait dengan MOIS, yang juga dikenal dengan nama lain di industri keamanan siber, termasuk Red Sandstorm dan Cobalt Mystique, hingga tahun 2022. Pada tahun itu, Microsoft diatribusikan serangan siber terhadap kelompok yang menargetkan lembaga pemerintah Albania dengan malware wiper penghancur data. Kelompok tersebut, yang saat itu menggunakan nama Homeland Justice, tampaknya termotivasi oleh upaya rezim Iran untuk membujuk Albania agar tidak menampung anggota kelompok oposisi Iran, Mojahedin-e-Khalq, yang berbasis di sana.
Setelah serangan Hamas pada tanggal 7 Oktober dan perang balasan Israel di Gaza yang menewaskan puluhan ribu orang di wilayah tersebut, Void Manticore tampaknya telah membentuk sub-kelompok Handala untuk menyerang sasaran-sasaran Israel dengan alasan pro-Palestina. “Selama peluru dan pertumpahan darah di tanah saya tidak membuat lelah dan luka masih ada di kaki, kami akan berdiri. #FreePalestine,” bunyi salah satu pernyataan yang diposting di situs web kelompok tersebut.
Handala telah memposting di situs webnya pengumuman tentang apa yang tampaknya merupakan operasi pemerasan bergaya ransomware dan pelanggaran hack-and-leak, meskipun tingkat sebenarnya dari gangguan mereka terhadap korban seringkali sulit untuk diverifikasi. Dalam beberapa kasus, mereka menggunakan malware kriminal yang telah diubah fungsinya seperti infostealer Rhadamanthys, namun dalam kasus lain mereka menggunakan alat destruktif untuk menghapus sebanyak mungkin data dari jaringan korban di seluruh pemerintahan dan industri keuangan Israel, menggunakan email phishing dan pembaruan keamanan palsu untuk menyebarkan contoh kode yang mencakup Coolwipe, Chillwipe, dan Bibiwiper, yang diberi nama sesuai dengan nama Perdana Menteri Israel Benjamin Netanyahu. “Kombinasi serangan ransomware ini, yang dipadukan dengan branding hacktivist dan taktik yang disponsori negara, menjadikan mereka unik di antara kelompok aktor ancaman,” kata Ian Gray, peneliti di perusahaan keamanan Flashpoint.
Dalam operasi tingkat tinggi terbarunya sebelum perang AS dan Israel melawan Iran, Handala kembali melakukan peretasan dan membocorkan catatan telepon pribadi para pejabat Israel. Para peretas mengaku telah meretas iPhone kepala staf Netanyahu, Tzachi Braverman, dan mantan perdana menteri Naftali Bennett. beberapa analisis pelanggaran menyarankan bahwa mereka sebenarnya hanya memperoleh akun Telegram mereka.
Dengan pecahnya perang, para peretas Handala mungkin telah ditugaskan sebagian untuk melakukan pekerjaan pengintaian: Kelompok tersebut adalah salah satu dari tiga kelompok peretas Iran yang ditemukan oleh Check Point. mencoba mengeksploitasi kerentanan pada kamera keamanan sipil yang terhubung ke internet di seluruh Timur Tengah. Upaya peretasan kamera tersebut selaras dengan waktu terjadinya serangan udara AS dan Israel di Iran dan secara geografis cocok dengan serangan balik Iran di negara-negara seperti Bahrain, Uni Emirat Arab, Israel, dan bahkan Siprus. Hal ini menunjukkan bahwa kamera yang diretas kemungkinan besar ditujukan untuk pengawasan sebagai bagian dari operasi militer dan mungkin menargetkan serangan rudal dan drone.
Terlepas dari taktik oportunistiknya, pelanggaran terhadap Stryker yang berbasis di Michigan mungkin merupakan operasi yang paling berdampak, mengingat perjuangan berkelanjutan perusahaan pada hari Kamis untuk kembali ke operasi normal. Handala mengklaim pihaknya menyerang perusahaan tersebut karena hubungan “Zionis”, seperti perusahaan Israel Orthospace yang diakuisisi pada tahun 2019 dan kontrak militer AS senilai $450 juta tahun lalu, sebagai dilansir Bloomberg. Stryker tidak segera menanggapi permintaan komentar WIRED.
Kemungkinan besar, kata Shykevich dari Check Point, Handala meretas Stryker karena bisa. “Saya tidak yakin mereka punya rencana,” katanya. “Mungkin mereka menemukan peluang, dan sekarang ini adalah kemenangan besar bagi mereka.”
Dengan berlarut-larutnya perang di Iran, Handala tampaknya berusaha menemukan setiap titik pengaruh yang memungkinkan untuk menimbulkan kekacauan sebanyak mungkin, dan sering kali mengumumkan “peringatan keras” dalam pesan publik atau berita yang akan “mengguncang dunia siber.”
Meskipun klaim dan peringatan tersebut dibesar-besarkan, sifat serangannya yang serampangan tidak memberikan kenyamanan bagi target seperti Stryker. Seperti yang tertulis di salah satu postingan Handala, “kendali permainan ada di tangan kami.”
