Das US-Justizministerium hat der iranischen Regierung offiziell vorgeworfen, ein Netzwerk von Hacktivistengruppen zu betreiben, darunter die berüchtigte Handala, die für die jüngsten Cyberangriffe gegen amerikanische Ziele verantwortlich ist. Dies stellt eine erhebliche Eskalation im anhaltenden Cyberkonflikt zwischen den beiden Nationen dar, da die USA direkte Maßnahmen ergreifen, um die digitalen Einflussoperationen Irans zu zerschlagen.
Die Handala-Operation: Eine staatlich geförderte Persona
Nach Angaben des DOJ nutzt das iranische Ministerium für Geheimdienste und Sicherheit (MOIS) Handala als Operation unter falscher Flagge. Die Gruppe gibt sich als unabhängiges Aktivistenkollektiv aus, dient aber tatsächlich als Instrument für psychologische Kriegsführung, Cyberangriffe und Desinformationskampagnen. Handala übernimmt die Verantwortung für Hacking-Vorfälle, veröffentlicht gestohlene Daten und spricht sogar gewalttätige Drohungen gegen Journalisten, Dissidenten und israelische Bürger aus.
Das Justizministerium handelte schnell und beschlagnahmte zwei mit Handala verlinkte Websites, kurz nachdem die Gruppe die Verantwortung für einen zerstörerischen Angriff auf Stryker, ein US-amerikanisches Medizintechnikunternehmen, übernommen hatte. Durch den Stryker-Verstoß wurden Daten von Zehntausenden Geräten von Mitarbeitern gelöscht. Handala rechtfertigte den Angriff als Vergeltung für einen US-Luftangriff, bei dem laut Iran 168 Kinder getötet worden seien.
Erweiterung der Reichweite: Jenseits von Stryker
Diese Operation ist nicht auf den Stryker-Angriff beschränkt. Das Justizministerium beschlagnahmte außerdem Domains, die von einer anderen vom Iran unterstützten Hacktivistenpersönlichkeit, „Justice Homeland“, genutzt wurden und im Zusammenhang mit einem Cyberangriff auf die albanische Regierung im Jahr 2022 standen. Dieser Angriff hat Regierungsserver offline geschaltet und sensible Daten gestohlen, wobei Microsoft unabhängig die iranische Beteiligung bestätigt hat.
Aus der eidesstattlichen Erklärung des FBI geht hervor, dass Handala, Justice Homeland und eine dritte Gruppe namens Karma Below alle Teil derselben koordinierten Operation sind, die von denselben Personen geleitet wird. Dies deutet auf eine zentralisierte, staatlich geförderte Cyber-Warfare-Infrastruktur hin.
Irans Reaktion und laufende Operationen
Handala wies das Vorgehen der USA als „verzweifelte Versuche, die Gruppe zum Schweigen zu bringen“ zurück. Laut Cybersicherheitsforschern hat Handala trotz der Beschlagnahmungen bereits neue Domains eingerichtet, um seinen Betrieb fortzusetzen. Die USA haben zugegeben, dass sie weitere Störungen verfolgen werden, wobei FBI-Direktor Kash Patel erklärte, sie hätten „vier Grundpfeiler ihrer Operation abgerissen und wir sind noch nicht fertig.“
Die Komplexität der Attribution
Obwohl die Beweise des DOJ überzeugend sind, kann es schwierig sein, Cyberangriffe staatlichen Akteuren zuzuschreiben. Laut Alex Orleans, Head of Threat Intelligence bei Sublime Security, handelt es sich bei den Personen hinter der Handala-Persönlichkeit möglicherweise nicht um dieselben Hacker, die die Angriffe ausgeführt haben. Das MOIS könnte separate Teams für Operationen einsetzen und das öffentliche Image eines „Aktivisten“ aufrechterhalten.
Dies deutet auf eine bewusste Ebene der Leugnung hin, bei der das MOIS eine plausible Distanz zur tatsächlichen Hacking-Aktivität wahrt und gleichzeitig die Erzählung durch diese Personen kontrolliert.
Die US-Aktion deckt eine ausgeklügelte iranische Cyberoperation auf, die darauf abzielt, Gegner durch verdeckte digitale Kriegsführung zu destabilisieren. Der Fall verdeutlicht die verschwommenen Grenzen zwischen staatlich gefördertem Hacking und hacktivistischen Bewegungen und gibt Anlass zur Sorge über die Zukunft von Cyberkonflikten.
