Das US-Justizministerium beschlagnahmte vier Domains, die Irans Ministerium für Nachrichtenwesen und Sicherheit (MOIS) laut FBI seit 2022 für seine Operationen einsetzte: Justicehomeland[.]org, Handala-Hack[.]to, Karmabelow80[.]org und Handala-Redwanted[.]to. In einem 40-seitigen Beschlagnahmebeschluss führt das FBI mehrere Kampagnen auf, die das Ministerium unter verschiedenen Online-Pseudonymen betrieb – zuletzt unter dem Namen „Handala".

Im Mittelpunkt steht ein kürzlicher Angriff auf den Medizintechnikhersteller Stryker mit Sitz in Michigan, zu dem sich Handala bekannte. Die Gruppe stellte erbeutete Daten auf eine der Seiten und gab an, Tausende Geräte des Unternehmens gelöscht zu haben. Stryck produziert unter anderem Bettsensoren und freihändige Kommunikationsgeräte, mit denen Pflegekräfte und Ärzte in Kliniken miteinander Kontakt halten.

Laut Gerichtsdokumenten hatte der Angriff „direkte Auswirkungen auf Rettungsdienste und Krankenhäuser in Maryland" und veranlasste einige Kliniken, ihre Verbindungen zum Unternehmen vorübergehend zu kappen, aus Sorge vor den Folgen des Wiper-Vorfalls. Die Staatsanwaltschaft schrieb, durch die Störung der Systeme seien Klinikpersonal angewiesen worden, sich auf Funkrücksprachen und mündliche Beschreibungen zu verlassen. Der Angriff habe „in einigen Fällen die Versorgung mit medizinischer Notfallhilfe in Krankenhäusern in Maryland beeinträchtigt". Ein in einem Krankenhaus in Maryland eingesetzter Stryker-Mitarbeiter konnte nach der Löschung seines Geräts nur noch eingeschränkt arbeiten.

Stryker versicherte seinen Kunden kürzlich in dringenden Mitteilungen, dass die Technik sicher nutzbar und nicht von dem Angriff betroffen sei; dieser habe sich gegen interne Microsoft-Systeme des Konzerns gerichtet. Das FBI veröffentlichte zudem Hinweise für Nutzer von Microsoft Intune, mit dem IT-Abteilungen Firmengeräte aus der Ferne verwalten. Die Angreifer nutzten die in Intune integrierte Funktion zum Löschen von Geräten, um sämtliche Unternehmensdaten auf mehr als 200.000 Geräten von Stryker-Beschäftigten in den USA, Irland, Indien und weiteren Ländern zu vernichten.

Nach Angaben der Staatsanwaltschaft verbreitete Handala über die Seiten auch gestohlene Daten israelischer Regierungsvertreter und Angehöriger der israelischen Streitkräfte. Nach Beginn der militärischen Auseinandersetzungen zwischen den USA, Israel und Iran veröffentlichte die Gruppe Adressen von IDF-Vertretern und versandte Drohmails. Auf den Seiten lagen zudem 851 GB an Daten, die mutmaßlich Mitgliedern der chassidischen Gemeinschaft Sanz entwendet wurden.

Eine der Seiten diente der Veröffentlichung von Daten, die bei zwei Angriffen auf die albanische Regierung im Jahr 2022 erbeutet wurden. Der erste Angriff im Juli 2022 fiel mit einer Konferenz zusammen, an der die von Teheran als Terrororganisation eingestufte Gruppe Mudschahedin-e Khalq (MEK) teilnehmen sollte, und legte Teile der Verwaltungsdienste lahm. Im September 2022 meldete Albaniens Premierminister Edi Rama einen zweiten Angriff auf das Total Information Management System des Landes, das etwa Passkontrollen automatisiert. Die US-Behörde CISA erklärte später, die iranischen Angreifer hätten sich über ein Jahr in den albanischen Netzen aufgehalten und unter anderem Korrespondenz zwischen den USA und Albanien entwendet.

FBI-Direktor Kash Patel erklärte, die Behörde sei mit der Aufdeckung iranischer Cyberoperationen „noch nicht fertig". Das US-Außenministerium setzte eine Belohnung von 10 Millionen US-Dollar für Hinweise aus. Eine Gruppe, die sich als Handala ausgibt, richtete inzwischen eine neue Seite ein, reagierte dort auf die Beschlagnahmen und drohte mit weiteren Angriffen. Israelische Stellen erklärten in dieser Woche, mehrere der hinter Handala stehenden iranischen Verantwortlichen seien kürzlich bei Luftangriffen getötet worden.