Иранская кибергруппировка Handala заявила о взломе California Water Service, одного из крупнейших водоканалов Калифорнии. Группировка опубликовала около 5 ГБ данных, которые, как она утверждает, были украдены из инфраструктуры Cal Water.
В слитом архиве, по данным профильных изданий, якобы есть персональные данные, административные учетные данные, внутренние файлы и материалы, связанные с системами компании. Handala также заявила, что получила возможность нарушить доступ к воде, но якобы не стала этого делать.
Пока нет независимого подтверждения, что опубликованные файлы действительно взяты из систем Cal Water в заявленном объеме. Как и подтверждения, что хакеры получили доступ к промышленным системам управления водоснабжением. Нет данных о перебоях с подачей воды, загрязнении, изменении технологических параметров или физическом влиянии на инфраструктуру.
При этом водный сектор США уже несколько месяцев находится в зоне повышенного риска из-за активности иранских киберакторов. Федеральные агентства заранее предупреждали водоканалы о попытках атак на интернет-доступные OT-устройства и программируемые логические контроллеры, которые используются в критической инфраструктуре.
Handala опубликовала заявление о взломе Cal Water и привязала операцию к политическому мотиву. Группировка утверждает, что атака стала ответом на действия США против Ирана. Группа регулярно оформляет свои операции как «ответные» акции и использует публикацию данных как информационное давление.
В этот раз группировка заявила, что получила доступ к данным Cal Water и выложила 5 ГБ материалов. В публикациях упоминаются персональные данные, административные учетные данные и скриншоты внутренних интерфейсов. Это может указывать на компрометацию корпоративной IT-среды, если архив подлинный.
California Water Service — водоснабжающая компания, работающая в Калифорнии. Она входит в California Water Service Group, которая через дочерние структуры предоставляет услуги водоснабжения и водоотведения в нескольких штатах США.
Для Калифорнии масштаб заметный: компания обслуживает сотни тысяч клиентских подключений примерно в ста сообществах. Из-за этого даже непроверенное заявление о взломе быстро попадает в новости. Водоснабжение — критическая инфраструктура, от которой зависят дома, больницы, школы, бизнес, пожарная безопасность и муниципальные службы.
Cal Water на момент подготовки материала не публиковала отдельного подробного заявления о взломе Handala на главной странице новостей. Открытых данных о перебоях в подаче воды тоже нет.
Если архив Handala подлинный, наиболее вероятный сценарий — компрометация корпоративной части инфраструктуры: документы, учетные данные, внутренние панели, данные сотрудников или клиентов, биллинговая информация, журналы, конфигурации, скриншоты и служебные файлы.
Handala — иранская или связанная с Ираном киберперсона, которая стала заметной после серии hack-and-leak-операций и разрушительных атак. Группа использует политическую риторику, публикует украденные данные, угрожает жертвам и часто пытается создать сильный медийный эффект.
Исследователи Check Point связывали Handala с Void Manticore, актором, которого относят к иранскому Министерству разведки и безопасности. Ранее Handala связывали с атаками на израильские и западные организации, а также с разрушительными кампаниями, где использовались wiper-подходы и hack-and-leak. У группы репутация шумного и агрессивного актора, который любит заявлять о крупном ущербе. При этом заявления таких групп всегда нужно проверять отдельно: хактивисты и государственно связанные персонажи часто преувеличивают доступ, масштаб и последствия.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
