Het Amerikaanse ministerie van Justitie heeft de Iraanse regering formeel beschuldigd van het exploiteren van een netwerk van hacktivistische groepen, waaronder de beruchte Handala, die verantwoordelijk is voor recente cyberaanvallen tegen Amerikaanse doelen. Dit markeert een aanzienlijke escalatie in het aanhoudende cyberconflict tussen de twee naties, waarbij de VS directe actie ondernemen om de digitale invloedsoperaties van Iran te ontmantelen.
De Handala-operatie: een door de staat gesponsorde persoonlijkheid
Volgens de DOJ gebruikt het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) Handala als een valse vlagoperatie. De groep doet zich voor als een onafhankelijk activistisch collectief, terwijl ze feitelijk dient als instrument voor psychologische oorlogsvoering, cyberaanvallen en desinformatiecampagnes. Handala eist de verantwoordelijkheid op voor hackincidenten, publiceert gestolen gegevens en uit zelfs gewelddadige bedreigingen tegen journalisten, dissidenten en Israëlische burgers.
De DOJ handelde snel en nam twee websites in beslag die gelinkt waren aan Handala, kort nadat de groep de verantwoordelijkheid had opgeëist voor een vernietigende aanval op Stryker, een Amerikaans medisch technologiebedrijf. Door de Stryker-inbraak werden gegevens van tienduizenden apparaten van werknemers gewist. Handala rechtvaardigde de aanval als vergelding voor een Amerikaanse luchtaanval waarbij volgens Iran 168 kinderen omkwamen.
Bereik uitbreiden: verder dan Stryker
Deze operatie is niet beperkt tot de Stryker-aanval. Het ministerie van Justitie heeft ook domeinen in beslag genomen die werden gebruikt door een andere door Iran gesteunde hacktivistische persoonlijkheid, ‘Justice Homeland’, die verband hield met een cyberaanval in 2022 op de Albanese regering. Door die aanval werden overheidsservers offline gehaald en werden gevoelige gegevens gestolen, waarbij Microsoft onafhankelijk de Iraanse betrokkenheid bevestigde.
De FBI-beëdigde verklaring geeft aan dat Handala, Justice Homeland en een derde groep genaamd Karma Below allemaal deel uitmaken van dezelfde gecoördineerde operatie, geleid door dezelfde individuen. Dit duidt op een gecentraliseerde, door de staat gesponsorde infrastructuur voor cyberoorlogvoering.
Reactie van Iran en lopende operaties
Handala deed de Amerikaanse acties af als ‘wanhopige pogingen om de groep het zwijgen op te leggen’. Ondanks de inbeslagnames heeft Handala volgens cybersecurity-onderzoekers al nieuwe domeinen opgezet om haar activiteiten voort te zetten. De VS hebben erkend dat zij verdere verstoringen zullen nastreven, waarbij FBI-directeur Kash Patel beweert dat ze “vier van de pijlers van hun operatie hebben neergehaald en dat we nog niet klaar zijn.”
De complexiteit van attributie
Hoewel het bewijsmateriaal van het DOJ sterk is, kan het moeilijk zijn om cyberaanvallen toe te schrijven aan statelijke actoren. Volgens Alex Orleans, hoofd dreigingsinformatie bij Sublime Security, zijn de personen achter de Handala-persona mogelijk niet dezelfde hackers die de aanvallen uitvoeren. De MOIS zou afzonderlijke teams kunnen inzetten voor operaties en het naar het publiek gerichte imago van ‘activist’ in stand kunnen houden.
Dit suggereert een doelbewuste laag van ontkenning, waarbij de MOIS een plausibele afstand bewaart tot de daadwerkelijke hackactiviteit, terwijl het verhaal nog steeds via deze persona’s wordt gecontroleerd.
De Amerikaanse actie legt een geavanceerde Iraanse cyberoperatie bloot die is ontworpen om tegenstanders te destabiliseren door middel van geheime digitale oorlogsvoering. De zaak benadrukt de vage grenzen tussen door de staat gesponsorde hacking en hacktivistische bewegingen, wat aanleiding geeft tot bezorgdheid over de toekomst van cyberconflicten.
