Связанная с Ираном группировка Handala 27 марта 2026 года опубликовала более 300 электронных писем и личные фотографии из Gmail директора ФБР Кэша Пателя (Kash Patel). Публикация произошла через восемь дней после того, как Минюст США изъял четыре домена группировки, а Госдеп объявил награду $10 млн за сведения о её участниках.
ФБР подтвердило взлом. Ведомство заявило, что похищенные сведения «носят исторический характер и не содержат государственной информации».
Читайте также: Проиранская группировка Handala атаковала медтехгиганта Stryker и стёрла данные на 200 000 устройств
На опубликованных фотографиях Патель позирует у ретроавтомобилей с кубинскими номерами с сигарой в руках. Большинство из 300 с лишним электронных писем датированы 2010–2012 годами. Самый свежий документ в архиве — квитанция на авиабилет 2022 года. Квитанции на перелёты, семейная переписка, бронирования поездок.
Независимый исследователь безопасности вместе с CNN изучил файлы. По его словам, архив содержит переписку за период с 2011 по 2022 год.
Reuters не смог самостоятельно подтвердить подлинность писем. Компания District 4 Labs, специализирующаяся на разведке в даркнете, подтвердила, что адрес Gmail в утечке совпадает с адресом Пателя из ранее известных баз. CNN подтвердил подлинность фотографий с помощью источника, знакомого с инцидентом. TechCrunch проверил заголовки части писем.
NBC News обнаружил деталь, связанную с операционной безопасностью. В 2014 году Патель, работавший в отделе национальной безопасности Минюста, переслал письмо со ссылкой со своего рабочего адреса в Минюсте. В копии стояли его адрес в ФБР и личный Gmail. Сейчас федеральные правила запрещают связывать служебные и личные аккаунты.
Метаданные файлов указывают, что сведения были похищены до начала текущего конфликта между США и Ираном. Папки с письмами последний раз изменялись 21 мая 2025 года.
Пока ФБР гордо захватывало наши домены и тут же объявляло награду в $10 млн за головы участников Handala, мы решили ответить на это нелепое шоу так, чтобы запомнили навсегда.
— Handala Hack Team
19 марта Минюст изъял четыре домена, связанных с Министерством разведки и безопасности Ирана (сокращённо MOIS). Сайты Justicehomeland[.]org, Handala-Hack[.]to, Karmabelow80[.]org и Handala-Redwanted[.]to использовались для публикации похищенных сведений и запугивания за рубежом. Патель в тот день заявил, что ФБР «выследит каждого, кто стоит за этими трусливыми угрозами и кибератаками».
В качестве причины Handala назвала потопление иранского фрегата IRIS Dena американской подводной лодкой 4 марта, в результате которого погибли 87 моряков.
Иранцы стреляют всем, что у них есть.
— Гиль Мессинг (Gil Messing), руководитель аппарата Check Point, описывая операцию как часть иранской стратегии по дискредитации американских чиновников
Патель уже становился мишенью иранских хакеров. В конце 2024 года, за несколько недель до назначения на пост директора ФБР, ему сообщили, что часть его личной переписки была похищена. Похищение стало частью кампании хакеров из Китая и Ирана против членов будущей администрации Трампа. Среди пострадавших оказались заместитель генерального прокурора Тодд Бланш (Todd Blanche), прокурор Линдси Халлиган (Lindsey Halligan) и Дональд Трамп-младший (Donald Trump Jr.).
После начала военных действий в феврале 2026 года группировка Handala активизировала атаки. 11 марта группировка атаковала Stryker, производителя медицинского оборудования из Мичигана. Handala заявила об уничтожении более 200 000 устройств. Независимые источники оценили число скомпрометированных машин Windows примерно в 80 000 через Microsoft Intune. Судебные документы Минюста подтвердили, что атака «напрямую затронула экстренные медицинские службы и больницы Мэриленда».
Читайте также: Атака на Stryker: хакеры стёрли 95% устройств через Microsoft Intune без вредоносного ПО
На неделе 24 марта Handala опубликовала личные сведения десятков сотрудников Lockheed Martin, работающих на Ближнем Востоке. Lockheed Martin заявил, что принимает меры «для противодействия киберугрозам».
40-страничный ордер Минюста на изъятие доменов описывает Handala как одно из прикрытий MOIS. Группировка совершает атаки и занимается запугиванием граждан Израиля и США с 2022 года. На изъятых сайтах хранилось 851 ГБ сведений, предположительно похищенных у хасидской общины Санзер. Израильские чиновники на прошлой неделе заявили, что несколько иранских руководителей, стоявших за группировкой, были уничтожены авиаударами.
Почта Пателя, вероятно, была скомпрометирована в 2024 или начале 2025 года, а сведения удерживались до тех пор, пока ФБР публично не выступило против Handala. Практика 2014 года, когда служебные и личные адреса связывались через CC, сделала аккаунт уязвимым, и эта уязвимость сохранялась спустя годы после перехода Пателя на чувствительную должность. Взлом личного аккаунта директора ФБР той же группировкой, против которой бюро изъяло домены и назначило награду, бьёт по репутации вне зависимости от содержания утечки.
Handala восстановила работу на новых доменах через несколько часов после изъятия 19 марта. Следующую неделю группировка провела, рассылая американским и израильским чиновникам письма с угрозами. ФБР подтвердило, что награда $10 млн остаётся активной, отметив, что Handala «регулярно атакует должностных лиц правительства США».
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
