Зачем придумывать вирусы, если можно просто нажать Delete? Прямолинейный подход иранских хакеров в действии

Хакерская группировка Handala Hack разворачивает атаки без сложных схем и редких уязвимостей. Злоумышленники заходят в сеть, спокойно перемещаются по инфраструктуре, а затем просто стирают всё подряд. Новый разбор деятельности группировки показывает, что такой прямолинейный подход нередко оказывается очень эффективным.

За названием Handala Hack скрывается кибергруппа Void Manticore, известная также как Red Sandstorm и Banished Kitten. Деятельность связывают с Министерством разведки и безопасности Ирана. Группировка ведёт несколько публичных «персонажей». Помимо Handala Hack в операциях фигурировали Karma и Homeland Justice. Через Homeland Justice проводили атаки на государственные структуры, телекоммуникационные компании и другие организации в Албании. Handala Hack сосредоточилась в основном на Израиле, а в последнее время начала атаковать и американские компании. Среди недавних целей оказалась медицинская корпорация Stryker.

Название Handala взяли у популярного палестинского карикатурного персонажа. Такой образ группировка активно использует в пропаганде и в материалах после атак.

Тактика Void Manticore почти не меняется. Взломщики предпочитают работать вручную, напрямую управляя действиями внутри сети жертвы. Для атаки используют готовые утилиты для уничтожения данных и общедоступные инструменты удаления или шифрования файлов. Иногда применяют собственные программы. Начальный доступ часто покупают у криминальных посредников или получают через украденные учётные записи.

Чаще всего злоумышленники атакуют подрядчиков и поставщиков ИТ-услуг. Цель простая: добыть учётные данные для виртуальных частных сетей. За последние месяцы зафиксировали сотни попыток входа и перебора паролей к корпоративным шлюзам VPN. Большая часть попыток шла через коммерческие VPN-сервисы. При этом атакующие нередко использовали компьютеры со стандартными именами Windows вроде DESKTOP-XXXXXX или WIN-XXXXXX.

После отключения интернета в Иране в январе специалисты заметили похожую активность уже с адресов спутниковой сети Starlink. Одновременно злоумышленники стали хуже скрывать происхождение трафика. В некоторых случаях соединение с атакуемыми системами шло напрямую с иранских адресов.

Попав в сеть, операторы Handala Hack действуют спокойно и методично. Иногда доступ получают за несколько месяцев до разрушительной фазы атаки. За это время злоумышленники закрепляются в инфраструктуре и добывают права администратора домена. Перед началом основной атаки проверяют учётные данные и собирают информацию о сети.

Для кражи паролей используют несколько методов. Например, выгружают процесс LSASS, где хранятся данные аутентификации, и копируют системные разделы реестра. Параллельно запускают утилиту ADRecon, которая собирает сведения о структуре домена Active Directory.

По сети злоумышленники перемещаются в основном через протокол удалённого рабочего стола. Если отдельные системы недоступны извне, устанавливают программу NetBird. Программа создаёт защищённую внутреннюю сеть между компьютерами. С её помощью операторы Handala Hack соединяют между собой несколько заражённых машин и управляют атакой сразу из нескольких точек внутри инфраструктуры.

Основной удар начинается, когда злоумышленники разворачивают инструменты уничтожения данных. Во время одной из атак использовали сразу четыре разных метода. Такое сочетание увеличивает шанс полностью вывести систему из строя.

Первый инструмент – специальная программа Handala Wiper. Программу распространяют по сети через групповые политики Windows. Вредоносный файл перезаписывает содержимое файлов и повреждает главную загрузочную запись диска. В результате данные становятся нечитаемыми.

Дополнительно запускают сценарий PowerShell, который удаляет все файлы из каталогов пользователей. По структуре кода и комментариям заметно, что сценарий, вероятно, создали с помощью систем искусственного интеллекта. После завершения удаления программа копирует на диски изображение handala.gif – своеобразную «подпись» атаки.

Иногда злоумышленники используют и легальные программы. Например, в одной атаке операторы установили программу шифрования дисков VeraCrypt и зашифровали системные разделы. Такой приём усложняет восстановление данных, даже если часть вредоносных программ не сработала.

В ряде случаев злоумышленники действуют ещё проще. Подключаются к серверу через удалённый рабочий стол, выделяют файлы или виртуальные машины и удаляют их вручную. Подобные действия можно увидеть даже в видеороликах и материалах, которые сама группировка публикует после взломов.

Анализ последних атак показывает, что Handala Hack не полагается на сложные технологии. Группировка делает ставку на украденные учётные данные, удалённый доступ и простые программы уничтожения данных. Такой подход остаётся опасным именно из-за своей простоты: если злоумышленникам удалось попасть в сеть и получить административные права, восстановление инфраструктуры после атаки может занять очень много времени.