Das FBI (Federal Bureau of Investigation) hat diese Woche zwei Websites beschlagnahmt, die mit der pro-iranischen Hackergruppe „Handala Hack Team“ in Verbindung stehen. 

Die Aktion erfolgte in Zusammenarbeit mit dem US-Justizministerium im Rahmen einer koordinierten Operation zur Bekämpfung von Cyberaktivitäten, die als bösartig eingestuft und mit einem ausländischen Akteur in Verbindung gebracht werden.

Die beiden vom FBI beschlagnahmten Domains:

1. Eine diente als zentrale Website, auf der die Handala-Gruppe Informationen über ihre Hacking-Operationen veröffentlichte.

2. Die andere wurde genutzt, um persönliche Daten („Doxing“) von Personen zu veröffentlichen, die angeblich Verbindungen zu israelischen Rüstungs- oder Technologieunternehmen (wie Elbit Systems oder der NSO Group) haben.

Auf beiden Websites ist nun ein offizieller Hinweis zu finden, der besagt, dass die Infrastruktur von US-Bundesbehörden beschlagnahmt wurde, da sie nachweislich dazu genutzt wurde, „bösartige Cyberaktivitäten im Auftrag oder in Abstimmung mit einem ausländischen staatlichen Akteur zu ermöglichen“.

Das Handala Hack Team ist eine Hacktivistengruppe, die sich als pro-palästinensisch darstellt und mindestens seit Ende 2023 aktiv ist. 

Obwohl sich die Gruppe selbst als „aktivistisch“ bezeichnet, wird angenommen, dass sie zumindest stillschweigend von iranischen Staatsakteuren unterstützt wird oder als inoffizielles Sprachrohr iranisch geführter Operationen agiert. 

Die Gruppe hat sich zu politisch motivierten Angriffen bekannt, darunter das Löschen von Netzwerkdaten, Informationslecks und die Veröffentlichung von Ziellisten.

Der Polizeieinsatz erfolgte kurz nachdem Handala die Verantwortung für einen bedeutenden Cyberangriff auf die Stryker Corporation, ein großes Medizintechnikunternehmen mit Zehntausenden von Mitarbeitern, übernommen hatte.

Laut der Gruppe:
• Sie erlangten Zugriff auf ein internes Windows-Administratorkonto.
• Sie kontrollierten das Microsoft Intune-Verwaltungssystem.
• Von dort aus löschten sie Daten von Zehntausenden von Firmen- und Privatgeräten.

Dieser Vorfall verdeutlicht, wie sehr Cyberoperationen zu einem integralen Bestandteil der aktuellen geopolitischen Spannungen geworden sind. 

Nicht nur Staaten führen Angriffe durch, sondern auch regierungsnahe oder staatlich finanzierte Gruppen können sich an digitalen Kampagnen mit politischen oder strategischen Zielen beteiligen.

Nach dem Stryker-Angriff haben Behörden wie die CISA (die US-amerikanische Cybersicherheits- und Infrastruktursicherheitsbehörde) und Microsoft Empfehlungen zur Stärkung von Geräteverwaltungssystemen herausgegeben. 

Dazu gehören strengere Zugriffskontrollen, Multi-Faktor-Authentifizierung und das Prinzip der minimalen Berechtigungen.