Hakerët iranianë të grupit Handala arritën të hakojnë adresën personale të emailit të drejtorit të FBI-së, Kash Patel, duke publikuar online fotografi private dhe një pjesë prej mbi 300 emailesh. Ishte vetë FBI që e konfirmoi të premten e 27 marsit përmes zëdhënësit Ben Williamson, duke sqaruar se janë “marrë të gjitha masat e nevojshme për të zbutur rreziqet e mundshme” dhe se të dhënat e përfshira ishin “të natyrës historike dhe nuk përmbanin informacione qeveritare”.

Në faqen e vet, grupi Handala Hack Team ka shkruar se Patel “do ta gjejë tani emrin e tij në listën e viktimave të hakuara me sukses”, duke bashkëngjitur fotografi ku ai shfaqet duke nuhatur dhe pirë puro, duke drejtuar një makinë të vjetër kabrio dhe duke bërë selfie në pasqyrë me një shishe rumi. Email-et e publikuara duket se përziejnë korrespondencë personale dhe profesionale të Patel, që i përkasin periudhës 2010–2019. Adresa Gmail e goditur përputhet me atë që i është atribuar më herët Patel në shkelje të tjera të të dhënave, të ruajtura nga kompania e inteligjencës në “dark web”, District 4 Labs.

Operacioni është pjesë e një strategjie më të gjerë. Gil Messing, shef kabineti në kompaninë izraelite të sigurisë kibernetike Check Point, e ka cilësuar sulmin si pjesë të një plani iranian për të vënë në siklet zyrtarët amerikanë dhe “për t’i bërë të ndihen të cenueshëm”. Sipas tij, iranianët “po përdorin gjithçka që kanë në dispozicion”.

Nuk bëhet fjalë për një rast të izoluar dhe as për një teknikë të re. Në vitin 2016, hakerë të lidhur me Rusinë ndërhynë në llogarinë Gmail të John Podesta, drejtues i fushatës së Hillary Clinton, duke publikuar materialet në WikiLeaks, në një rast që pati ndikim në garën presidenciale me Donald Trump. Edhe më herët, në vitin 2015, disa hakerë adoleshentë depërtuan në llogarinë personale AOL të drejtorit të atëhershëm të CIA-s, John Brennan, duke shpërndarë të dhëna mbi zyrtarë të inteligjencës.

Shkelje të tilla, teknikisht jo shumë të sofistikuara, por me ndikim të madh mediatik, përputhen me vlerësimet e inteligjencës amerikane se Irani dhe aleatët e tij mund t’u përgjigjen sulmeve të SHBA-së dhe Izraelit me sulme kibernetike të nivelit të ulët ndaj rrjeteve dixhitale amerikane.

Kush është Handala?

Handala paraqitet si një grup hakerësh “vigjilentë” pro-palestinezë, por studiuesit perëndimorë e konsiderojnë si një nga grupet e shumta nën të cilat operojnë njësitë e inteligjencës kibernetike të qeverisë iraniane, veçanërisht ato që lidhen me Ministrinë e Inteligjencës dhe Sigurisë (MOIS) dhe Gardën Revolucionare Islamike (IRGC). Grupi është aktiv të paktën që nga viti 2022, kur goditi qeverinë e Shqipërisë. Handala është i lidhur me grupin iranian “Homeland Justice”, i cili ka marrë përsipër sulmet ndaj Shqipërisë, përfshirë edhe sulmet e fundit ndaj faqes së Kuvendit dhe Postës Shqiptare.

Grupi Handala, më 11 mars goditi kompaninë amerikane të teknologjisë mjekësore Stryker me një sulm ransomware, që sipas pretendimeve bllokoi rreth 80 mijë pajisje të kompanisë dhe personale. Në deklaratën e tyre, sulmi u cilësua si “hakmarrje për sulmin brutal ndaj shkollës së Minab”. Stryker deklaroi se incidenti është “nën kontroll” dhe se nuk ka prova për akses në sistemet e klientëve apo partnerëve.

Të enjten, Handala mori përgjegjësinë edhe për publikimin e të dhënave personale të dhjetëra punonjësve të Lockheed Martin që shërbejnë në Lindjen e Mesme; kompania konfirmoi se është në dijeni të raportimeve.

“Handala” dhe “Homeland Justice” ishin mes faqeve iraniane që u goditën nga SHBA dhe iu bllokuan domain-et më 20 mars. Njëra prej tyre, sipas njoftimit zyrtar, ishte përdorur në kuadër të “një përpjekjeje më të gjerë për të frikësuar dhe ngacmuar disidentët dhe gazetarët iranianë që jetojnë në SHBA dhe jashtë saj”. Një tjetër publikonte kërcënime të drejtpërdrejta ndaj zyrtarëve amerikanë: “Do të ekzekutoheni së shpejti dhe kemi ofruar një shpërblim prej 250 mijë dollarësh për agjentët që do t’ju vrasin dhe do t’ju presin kokën”.

Teknikat e përdorura

Metoda e operimit të Handala-s ndjek modelin klasik të inxhinierisë sociale: objektivat, gazetarë, disidentë, aktivistë, zyrtarë, kontaktohen me email-e të personalizuara, të ndërtuara sipas zakoneve dhe informacionit të disponueshëm për secilën viktimë. Ata që bien pre e mashtrimit nxiten të ndajnë kode aksesi dhe kredenciale. Malware-i maskohet si aplikacione të zakonshme për sistemet Windows. Pasi pajisja komprometohet, një bot në Telegram krijon lidhje në distancë me sulmuesit dhe nxjerr të dhëna si dokumente, “screenshot”-e dhe, në disa raste, edhe regjistrime audio dhe video nga sesione në Zoom.