Sabotaggio informatico iraniano: gli attacchi wiper di Handala prendono di mira reti statunitensi e israeliane
Hacker iraniani sostenuti dallo Stato intensificano le campagne di cancellazione dei dati, sfruttando l’errore umano per paralizzare organizzazioni ben oltre il Medio Oriente.
È iniziato come un sussurro sui canali underground: una nuova minaccia cyber, mascherata da hacktivismo, che lasciava caos dietro di sé. Ma quando interi server sono scomparsi nel nulla negli Stati Uniti e in Israele, il mondo se n’è accorto. Il colpevole? Handala-un gruppo sfuggente legato all’Iran, la cui firma non è il furto, ma la distruzione.
L’anatomia di una squadra d’assalto digitale
Handala, tracciato anche come Void Manticore, COBALT MYSTIQUE e Storm-1084, è comparso per la prima volta alla fine del 2023. Gli analisti di sicurezza hanno rapidamente identificato la reale appartenenza del gruppo: è una copertura del MOIS iraniano, che orchestra sabotaggi sotto la maschera dell’attivismo. L’arma preferita è il temuto “wiper”-malware progettato per un solo scopo: cancellare irreversibilmente i dati e paralizzare le operazioni.
A differenza dei cybercriminali sofisticati che sfruttano vulnerabilità zero-day, gli attacchi di Handala sono allarmantemente semplici-ed efficaci. Il vettore principale del gruppo è l’errore umano: email di phishing inducono i dipendenti a consegnare le proprie credenziali. Da lì, gli attaccanti procedono con metodo, andando a caccia di account amministrativi, soprattutto quelli che gestiscono Microsoft Intune, una piattaforma cloud per la gestione degli endpoint.
Con identità amministrative rubate, Handala si confonde con la normale attività di rete. Poi, usando strumenti legittimi, scatena comandi di wipe su larga scala che devastano server e workstation-spesso prima ancora che i difensori si rendano conto di cosa stia accadendo. L’impatto è immediato: le aziende si fermano, e il ripristino può richiedere settimane o mesi.
Difendersi dal nemico invisibile
Gli esperti avvertono che i modelli di sicurezza tradizionali non sono all’altezza di questa nuova tipologia di attacco. La soluzione? Un approccio zero-trust alla gestione di identità e privilegi. Si invita le organizzazioni a eliminare i diritti amministrativi “permanenti”, passando a un modello Just-In-Time in cui l’accesso elevato è rigidamente controllato e limitato nel tempo. L’autenticazione a più fattori-soprattutto quella basata su hardware, come le chiavi FIDO2-aggiunge un ulteriore livello cruciale.
Per azioni ad alto impatto, come il wipe dei dispositivi, richiedere l’approvazione di più amministratori può fermare gli attaccanti sul nascere. Limitare il numero di account privilegiati e isolare gli ambienti cloud dai sistemi on-premises riduce inoltre il raggio d’azione in caso di violazione.
Con le tensioni geopolitiche che alimentano campagne cyber sempre più aggressive, la lezione è chiara: vigilanza, controlli moderni delle identità e una sana diffidenza verso ogni accesso sono ormai difese essenziali contro sabotatori sostenuti dallo Stato come Handala.
WIKICROOK
- Malware wiper: Software malevolo progettato per cancellare in modo permanente i dati dai dispositivi, rendendo impossibile il recupero.
- Phishing: Email o messaggi ingannevoli che inducono gli utenti a rivelare informazioni sensibili come le password.
- Microsoft Intune: Servizio cloud per gestire e proteggere i dispositivi all’interno delle organizzazioni.
- Zero-trust: Modello di sicurezza che presume che nessun utente o dispositivo sia automaticamente affidabile, richiedendo una verifica continua.
- Accesso Just-In-Time (JIT): Concessione di privilegi amministrativi solo temporaneamente e quando strettamente necessario, riducendo il rischio.




