Le FBI a saisi et fermé deux sites Internet liés au groupe hacktiviste pro-iranien Handala, qui a revendiqué la semaine dernière une cyberattaque destructrice contre le géant américain des technologies médicales Stryker.
Jeudi, le contenu d’un site Web sur lequel Handala a rendu public ses piratages, ainsi que d’un autre site Web que le groupe a utilisé pour harceler des dizaines de personnes sur leurs liens présumés avec l’armée israélienne et des sous-traitants de la défense, tels qu’Elbit Systems et NSO Group, ont été remplacés par une bannière annonçant l’action des forces de l’ordre.
L’annonce de la saisie ne précise pas pourquoi le FBI et le ministère de la Justice ont fermé les sites Web. Mais le langage utilisé semble indiquer que les autorités américaines pensaient que ces sites étaient gérés par des pirates informatiques liés à un gouvernement étranger.
« Les autorités chargées de l’application des lois ont déterminé que ce domaine était utilisé pour mener, faciliter ou soutenir des cyberactivités malveillantes au nom ou en coordination avec un acteur étatique étranger », peut-on lire dans l’annonce de saisie. « Le gouvernement des États-Unis a pris le contrôle de ce domaine pour perturber les cyber-opérations malveillantes en cours et empêcher toute exploitation ultérieure. »
TechCrunch a confirmé la saisie du site Web en examinant les enregistrements de ses serveurs de noms, qui pointent désormais vers des serveurs contrôlés par le FBI.
Le FBI et le ministère de la Justice n’ont pas immédiatement répondu à la demande de commentaires de TechCrunch.

Dans une série d’annonces publiées jeudi sur la chaîne Telegram officielle du groupe, Handala a reconnu que ses sites Web avaient été mis hors ligne, qualifiant les saisies de « tentative désespérée de faire taire notre voix ».
« Cet acte d’agression numérique ne fait que mettre en évidence la peur et l’anxiété que nos actions ont instillées dans le cœur de ceux qui oppriment et trompent », ont écrit les pirates. « Bien qu’ils tentent d’effacer les preuves et de cacher leurs crimes par la censure et l’intimidation, leurs actions ne font que confirmer l’impact de notre mission. La poursuite de la justice ne peut pas être stoppée par la fermeture d’un site Web, le mouvement pour la vérité persistera et se renforcera. «
Le compte X de Handala a également été récemment suspendu.
Le groupe n’a pas répondu à un message envoyé sur son compte de chat officiel.
Handala est actif au moins depuis les attaques du Hamas du 7 octobre 2023 et aurait des liens avec le régime iranien. La semaine dernière, le groupe a revendiqué l’attaque contre la société médicale américaine Stryker, qui compte plus de 56 000 employés dans des dizaines de pays. Les pirates informatiques ont déclaré que ce piratage était en représailles à la frappe de missile du gouvernement américain qui a frappé une école iranienne, tuant au moins 175 personnes, pour la plupart des enfants.
L’année dernière, Stryker a signé un contrat de 450 millions de dollars pour fournir des dispositifs médicaux au ministère de la Défense.
Handala aurait pénétré par effraction dans un compte administrateur interne de Stryker, obtenant ainsi un accès quasi illimité au réseau Windows de l’entreprise. À ce stade, les pirates auraient pris possession des tableaux de bord Intune de Stryker, un outil conçu pour permettre à l’entreprise de gérer à distance les ordinateurs portables et les appareils mobiles des employés, ce qui incluait la possibilité de supprimer des données.
En accédant à ces tableaux de bord, les pirates auraient pu effacer les appareils appartenant à la fois à l’entreprise et à ses employés.
Mardi, Stryker a déclaré qu’il restait toujours ses ordinateurs et son réseau interne suite au piratage.
Nariman Gharib, activiste iranien basé au Royaume-Uni et enquêteur indépendant en matière de cyberespionnage, a déclaré à TechCrunch que les démantèlements étaient une bonne nouvelle.
« Leur structure organisationnelle et de gestion est actuellement perturbée, et à tout moment, les membres de ce groupe peuvent être ciblés par des frappes de missiles, tout comme les autres cyberforces du régime », a déclaré Gharib à TechCrunch.
« Mais cela ne signifie pas que leurs activités pourraient s’arrêter, non. Il est possible que de futures fuites soient publiées par ce groupe à travers des médias proches du CGRI », a-t-il déclaré, faisant référence à l’armée du pays.

