Le FBI a récemment procédé à la saisie de deux sites web associés au groupe hacktiviste Handala, après qu’ils aient orchestré une cyberattaque dévastatrice contre le géant technologique médical Stryker, entraînant l’effacement d’environ 80 000 appareils.
Les domaines handala-redwanted[.]to et handala-hack[.]to présentent désormais un avis de saisie, indiquant que cette action a été effectuée en vertu d’un mandat délivré par le tribunal du district du Maryland.
Le message de saisie stipule : « Ce domaine a été saisi par le Federal Bureau of Investigation en vertu d’un mandat délivré par un tribunal fédéral des États-Unis, dans le cadre d’une action judiciaire. Les autorités ont établi que ce domaine était utilisé pour mener, faciliter ou soutenir des activités malveillantes en lien avec un acteur étatique étranger. »
Cette initiative vise à « interrompre les opérations malveillantes en cours et à prévenir toute exploitation supplémentaire. »
Source : BleepingComputer
Le groupe Handala, également connu sous les noms de Handala Hack Team, Hatef et Hamsa, est une organisation hacktiviste pro-palestinienne liée à l’Iran. Apparue en décembre 2023, elle a mené des attaques associées au Ministère iranien du renseignement et de la sécurité.MOIS, ciblant des entités israéliennes avec des malwares capables d’effacer des appareils Windows et Linux.
Bien qu’aucune annonce officielle sur les saisies n’ait encore été faite par les autorités, les serveurs de noms des domaines ont été modifiés pour ceux habituellement utilisés par le FBI lors de telles actions :
Name Server: ns1.fbi.seized.gov
Name Server: ns2.fbi.seized.gov
Il reste à déterminer si le FBI a seulement saisi les domaines ou s’il a également accès au contenu et aux journaux des serveurs des sites.
Cette opération fait suite à la cyberattaque massive de Handala contre Stryker, lors de laquelle ils ont réussi à compromettre un compte d’administrateur de domaine Windows et à créer un nouveau compte d’administrateur global pour mener leur attaque.
Ils ont ensuite envoyé la commande « wipe » via Microsoft Intune pour réinitialiser environ 80 000 appareils, y compris des ordinateurs et des mobiles. Les employés ayant des appareils personnels gérés par la société ont également vu leurs dispositifs effacés.
Après les saisies, Handala a reconnu les saisies de ses sites et a exprimé le besoin d’une infrastructure plus résiliente, annonçant qu’elle travaillait sur de nouveaux sites pour informer de ses attaques.
Dans un message sur Telegram, le groupe a déclaré : « Établir une nouvelle base digitale est un processus complexe et long, cependant nous restons déterminés à poursuivre notre mission sans interruption. »
Suite à l’attaque, Microsoft et CISA ont publié des recommandations pour renforcer les domaines Windows et sécuriser Intune afin d’éviter que d’autres entreprises ne subissent des attaques similaires.