Dietro questo pseudonimo si cela il braccio cyber del regime di Teheran pronto a colpire senza preavviso
Nella serata del 10 marzo i computer della Stryker, colosso americano delle tecnologie mediche, hanno iniziato a spegnersi uno dopo l’altro, i sistemi interni sono andati in tilt e gran parte delle attività della società si sono fermate all’improvviso. Un attacco mirato e devastante. A firmare l’operazione un gruppo che gli esperti di cybersicurezza indicano come la nuova minaccia in Medio Oriente: Handala. L’offensiva contro Stryke rientra in un’escalation di tensione che ha preso il via alla fine di febbraio, quando Stati Uniti e Israele hanno intensificato le loro operazioni militari contro l’Iran.
“È solo l’inizio”: l’avvertimento dopo l’attacco a Stryker
Il quotidiano egiziano Ahram riporta la dichiarazione d’intenti del collettivo di hacker dopo l’attacco informatico. “Annunciamo al mondo – scrivono in un post – che, come rappresaglia per il brutale attacco alla scuola di Minab e in risposta agli assalti informatici in corso contro le infrastrutture dell’Asse della resistenza, la nostra grande operazione informatica è stata eseguita con pieno successo”. Il riferimento è al missile Tomahawk americano che, secondo Teheran, avrebbe ucciso almeno 165 civili in una scuola femminile iraniana, e alle numerose offensive informatiche condotte da Usa e Israele. Ma il messaggio più inquietante arriva alla fine: “Questo è solo l’inizio di una nuova era di guerra informatica”.
Un nome che viene dalla satira
Il nome Handala richiama un personaggio delle vignette politiche di Naji al-Ali, artista palestinese scomparso: un bambino con le mani intrecciate dietro la schiena che osserva in silenzio le ingiustizie del mondo. Un simbolo della resistenza e dell’identità palestinese oggi utilizzato da un collettivo di hacker per firmare le proprie incursioni nel cuore dei sistemi occidentali. Secondo gli esperti israeliani, dietro lo pseudonimo si celerebbe addirittura il ministero dell’Intelligence iraniano, conosciuto come Mois. Handala rappresenta il volto più aggressivo di una galassia di operatori informatici controllati dal regime, abili nel presentarsi come semplici attivisti digitali ma in realtà impegnati a colpire gli avversari in modo rumoroso e con precisi obiettivi politici.
Colpiti i premier israeliani
L’attività di sabotaggio non è cominciata con la guerra in Iran. Negli anni, il gruppo ha accumulato un curriculum di tutto rispetto nel mondo del cybercrimine politicamente motivato. Ha preso di mira imprese israeliane e funzionari politici, talvolta limitandosi a violare i sistemi per pubblicare dati riservati, altre volte distruggendo completamente le informazioni contenute nei server. Con l’inizio della guerra a Gaza dopo il 7 ottobre 2023, l’attività del gruppo si è intensificata. Handala ha rivendicato pubblicamente oltre una dozzina di attacchi, per lo più contro obiettivi israeliani. In uno dei colpi più celebri, ha dichiarato di aver violato gli iPhone del capo dello staff di Netanyahu, Tzachi Braverman, e dell’ex primo ministro Naftali Bennett.
Tra disordine e strategia
Non tutti gli esperti vedono in Handala una macchina da guerra perfetta, ipotizzando piuttosto atti su obiettivi casuali da colpire in Israele o negli Stati Uniti. Questa apparente casualità, però, non rende gli attacchi meno pericolosi. Anzi, per vittime come Stryker, finire nel mirino di un gruppo che agisce d’impulso può essere persino peggio. I ricercatori di Recorded Future, azienda americana leader nell’intelligence sulle minacce informatiche, hanno individuato per la prima volta il gruppo cyber verso la fine del 2023, subito dopo gli attacchi del 7 ottobre. L’analista Alexander Leslie ricorda che all’inizio il gruppo si presentava come un collettivo hacktivista pro-palestinese, una copertura che non nascondeva l’allineamento con gli interessi del regime iraniano. Per promuovere le proprie attività, Handala utilizza Telegram e X, ma gestisce anche siti web dedicati dove pubblica aggiornamenti in tempo reale sugli attacchi. E per aggirare i blackout di internet in Iran, ha fatto affidamento su Starlink, la connessione satellitare di Elon Musk.
L’arsenale di Handala
Gli hacker filoiraniani hanno mostrato di sapersi muovere su più fronti. Da un lato, hanno portato a termine leak di informazioni sensibili, pubblicando dati delle vittime come forma di pressione psicologica. Dall’altro, hanno utilizzato malware di tipo wiper, programmi progettati non per rubare dati ma per cancellarli definitivamente, rendendo inutilizzabili interi sistemi informatici. Con l’escalation del conflitto, il gruppo sembra aver parzialmente cambiato strategia. Handala, affermano gli analisti, è uno dei tre collettivi iraniani che ha tentato di sfruttare le vulnerabilità delle telecamere di sicurezza civili connesse a internet in tutto il Medio Oriente. Telecamere manomesse che sarebbero potute servire per attività di sorveglianza e, forse, per individuare obiettivi da colpire con missili e droni. I tentativi sono avvenuti in concomitanza con i bombardamenti statunitensi e israeliani in Iran, e hanno interessato paesi come Bahrein, Emirati Arabi Uniti, Israele e Cipro.
Una nuova era di guerra
Mentre il conflitto tra Iran e Occidente sembra destinato a protrarsi, Handala continua a seminare messaggi minacciosi. I suoi post pubblici spesso contengono “severi avvertimenti” o preannunciano notizie che “scuoteranno il mondo cyber”. Affermazioni che talvolta si sono rivelate esagerate, ma che mantengono alta la tensione. Perché al di là della reale capacità di colpire, quello che il gruppo rappresenta è un cambiamento profondo nella natura della guerra moderna. Non più solo bombe e missili, ma un codice informatico in grado di paralizzare un’azienda, distruggere dati, violare la privacy di funzionari governativi. Il messaggio che Handala vuole lasciare è chiaro e lo dichiara in un post: “Il gioco è nelle nostre mani”.
TUTTE LE ULTIME NOTIZIE SU SPAZIO50.ORG
© Riproduzione riservata