Cal Water zählt zu den größten in Investorenhand befindlichen Wasserversorgern in den USA und versorgt nach Angaben des Quelltexts rund zwei Millionen Kunden in 100 Gemeinden in Kalifornien. Die von Handala veröffentlichte Datenmenge umfasst laut Dataminr offenbar einen vollständigen Export einer Datenbank mit personenbezogenen Informationen wie Namen, Adressen, Telefonnummern, Kontonummern und Zahlungshistorien.

Hinzu kommen administrative Zugangsdaten für die RTKBase-Plattform sowie ein NTRIP-Quellpasswort auf Mountpoint-Ebene. Außerdem habe die Gruppe IP-Adressen aus dem NTRIP-Netz von Cal Water über sieben Distrikte hinweg enumeriert. Dataminr zufolge spricht das dafür, dass die Angreifer nicht nur Daten aus einem Abrechnungssystem ausgeleitet, sondern sich auch in der internen technischen Umgebung des Versorgers umgesehen haben.

Nach Einschätzung von Dataminr waren das Abrechnungssystem und die RTKBase-Plattform getrennte Infrastrukturen. Die Firma bewertet das RTKBase-Netz als wahrscheinlichen Vektor für den Erstzugang oder als lateralen Knotenpunkt, über den die Angreifer das Abrechnungsumfeld erreichten. Die betroffene RTKBase-Instanz sei zum Zeitpunkt des Zugriffs seit ungefähr 783 Stunden ohne Unterbrechung in Betrieb gewesen; über alle sieben identifizierten Distrikt-Mountpoints seien GPS-Korrekturdaten gestreamt worden.

Eine Störung von OT- oder ICS-Systemen ist in diesem Vorfall laut Dataminr nicht bestätigt. Das Unternehmen weist jedoch darauf hin, dass Handala über ein Werkzeugset verfügt, zu dem eigene Wiper gehören, darunter win.handala, Handala Wiper und Hamsa Wiper, sowie Fähigkeiten zum Überschreiben des Master Boot Record. Dataminr verweist zudem auf den Stryker-Vorfall als Beispiel dafür, dass die Gruppe innerhalb derselben Kampagne von Datendiebstahl zu destruktiven Operationen eskalieren kann.

Daher sollten nach Einschätzung von Dataminr sämtliche in dem Datenpaket offengelegten Zugangsdaten als kompromittiert betrachtet und sofort ausgetauscht werden. Die RTKBase-Instanz sollte vom Netz genommen und geprüft werden; zudem sollten Netzsegmentierung und Zugriffsprotokolle des Abrechnungssystems überprüft werden.

Cal Water hat den Vorfall bislang nicht öffentlich eingeräumt. SecurityWeek hat das Unternehmen nach einer Stellungnahme gefragt und angekündigt, den Bericht bei einer Antwort zu aktualisieren.

Die USA bringen Handala mit dem iranischen Ministerium für Nachrichtendienste und Sicherheit, MOIS, in Verbindung. Die Gruppe ist laut Quelltext seit mindestens 2008 aktiv und wird auch unter den Namen Handala Hack, Banished Kitten, Dune, Hanzalah Hacking Group, Homeland Justice, Red Sandstorm, Storm-0842 und Void Manticore geführt. Bekannt ist sie für ein breites Spektrum von Aktivitäten, das von Hacktivismus bis zu destruktiven Angriffen reicht, mit einem Schwerpunkt auf Datenexfiltration, dem Einsatz von Wiper-Malware und psychologischen Operationen.