Le ministère américain de la Justice a accusé le gouvernement iranien d’être derrière le groupe hacktiviste Handala, qui a revendiqué la semaine dernière la responsabilité de la cyberattaque destructrice contre le géant américain des technologies médicales Stryker.
Dans un communiqué de presse publié jeudi, le ministère de la Justice a déclaré que le ministère iranien du Renseignement et de la Sécurité (Vevak) exploitait Handala.
Le ministère de la Justice a qualifié le groupe de faux activiste que le ministère iranien a utilisé pour mener des « opérations psychologiques » contre les ennemis du régime, revendiquer la responsabilité de cyberattaques et publier des informations volées obtenues lors de ces piratages. Le groupe a également appelé au meurtre de journalistes, de dissidents du régime et d’Israéliens par le DOJ.
L’annonce est intervenue quelques heures après que le FBI a saisi deux sites Web liés à Handala, comme l’a rapporté pour la première fois TechCrunch. Le groupe a utilisé ces sites Web pour faire connaître ses cyberattaques présumées, ainsi que pour publier les informations personnelles de dizaines de personnes qui auraient travaillé pour l’armée israélienne et des sous-traitants de la défense.
Handala s’est attribué le mérite sur son site Web de la cyberattaque du 11 mars contre Stryker, au cours de laquelle les pirates ont effacé à distance des dizaines de milliers d’appareils d’employés. Les pirates informatiques ont déclaré que cette violation était en représailles à une frappe aérienne américaine contre une école iranienne, qui a tué 168 enfants, selon des responsables iraniens.
Le directeur du FBI, Kash Patel, a été cité dans le communiqué de presse du DOJ disant que le FBI « a détruit quatre des piliers de ses opérations et nous n’avons pas fini ».
Outre les deux sites Web utilisés par Handala, le DOJ a également saisi deux autres domaines qui auraient été utilisés par le Vevak iranien via un autre personnage hacktiviste se faisant appeler « Justice Homeland » ou « Homeland Justice ». Le DOJ a accusé les pirates informatiques du gouvernement iranien d’avoir utilisé ces deux domaines pour revendiquer la responsabilité du piratage du gouvernement albanais en 2022, lors d’une cyberattaque qui a entraîné la mise hors ligne des serveurs gouvernementaux et le vol de données sensibles. Microsoft a également lié l’attaque contre le gouvernement albanais au Vevak.
Dans une déclaration sous serment soumise au tribunal pour soutenir la saisie des sites Web de Handala, le FBI a déclaré que Handala, Justice Homeland et un autre personnage hacktiviste appelé Karma Below, « font partie du même complot parce qu’ils sont gérés par les mêmes individus ».
Contactez-nous
Avez-vous plus d’informations sur Handala ou sur d’autres opérations de piratage liées à l’Iran ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail.
Handala a répondu à l’annonce du DOJ dans une déclaration publiée sur sa chaîne officielle Telegram, dans laquelle les pirates informatiques ont qualifié les actions du gouvernement américain de « rien de plus que les dernières tentatives désespérées des États-Unis et de leurs alliés pour faire taire la voix de Handala ».
Keith O’Neill, chercheur en cybersécurité chez DomainTools, a déclaré à TechCrunch que Handala avait déjà créé de nouveaux domaines qui n’avaient pas encore été saisis.
Le groupe de piratage n’a pas répondu à une demande de commentaires envoyée à un compte de chat rendu public par les pirates, ni à une adresse e-mail identifiée par le ministère de la Justice dans son affidavit.
Un porte-parole de la mission permanente de l’Iran auprès des Nations Unies n’a pas répondu à la demande de commentaires de TechCrunch. Stryker n’a pas non plus répondu à une demande de commentaire.
Alex Orleans, responsable du renseignement sur les menaces chez Sublime Security qui suit les pirates informatiques iraniens depuis des années, a déclaré à TechCrunch qu’il est possible que les personnes derrière le personnage de Handala ne soient pas les mêmes que celles qui effectuent le piratage réel.
« Handala n’est pas nécessairement synonyme de tête-à-tête avec les acteurs qui mènent les activités dont elle s’attribue le mérite », a déclaré Orléans. « Il pourrait y avoir plusieurs équipes menant de véritables intrusions tandis qu’une équipe distincte est responsable du maintien de la personnalité – tous ces éléments distincts coexistant au sein d’un élément Vevak unifié plus grand. »
« Il existe un niveau d’opacité qui peut être difficile à pénétrer », a-t-il déclaré.

