Il gruppo hacker filo-iraniano noto come Handala, conosciuto anche con altri alias come Banished Kitten o Hanzala, ha rivendicato la completa violazione dei sistemi di Iran International, emittente con sede a Londra che trasmette in lingua persiana contenuti fortemente critici nei confronti della Repubblica Islamica, e secondo diverse fonti tra cui Kurdistan24, ISNA e altre testate indipendenti e governative, sarebbe riuscito ad accedere non solo ai server e all’infrastruttura tecnica dell’organizzazione ma anche a dati estremamente sensibili come le informazioni personali di oltre 71.000 contatti che utilizzavano il canale "Secure Line" per comunicazioni riservate con i giornalisti, comprese fonti anonime all’interno dell’Iran, oltre a documentazione finanziaria interna e alla posta elettronica privata di numerosi dipendenti, un'operazione che, se confermata nei dettagli, rappresenta un punto di svolta per la guerra informatica condotta a colpi di malware, intimidazioni digitali e campagne psicologiche contro media ritenuti ostili.
Handala non è un gruppo qualunque, non è nemmeno un collettivo di hacktivisti spontanei come Anonymous o i loro derivati geopolitici: il nome stesso è evocativo, richiama la figura simbolica palestinese di Handala, emblema di resistenza contro l’occupazione, ma in questo caso piegato a una narrazione filo-governativa ben orchestrata, legata quasi certamente a elementi dell’intelligence iraniana o al Corpo delle Guardie della Rivoluzione Islamica, con tattiche e operazioni che rientrano nel più ampio spettro di attività dell’APT33 (Helix Kitten) e affini, soggetti che non operano per ideologia individuale ma in simbiosi con gli apparati dello Stato, coordinati, finanziati e probabilmente addestrati per condurre operazioni che non hanno solo valore tecnico ma anche strategico e mediatico, come dimostra la pubblicazione mirata di contenuti sottratti, la diffusione di dati sensibili e la creazione di panico e discredito in rete.
Iran International, dal canto suo, è da tempo al centro delle attenzioni ostili da parte del governo di Teheran, che lo ha ufficialmente designato come "organizzazione terroristica", accusandolo di essere una longa manus dei servizi segreti britannici e israeliani, in particolare del Mossad, e non è un’accusa vuota, nel senso che fa parte di quella narrativa usata per screditare qualunque fonte esterna che denunci la repressione interna, amplifichi le proteste popolari o dia voce all’opposizione, e che va di pari passo con minacce fisiche ai giornalisti residenti a Londra, costretti in alcuni casi a lasciare il Regno Unito dopo aver ricevuto segnalazioni concrete di essere obiettivi di attentati o omicidi, una forma estrema di censura che però si riflette anche nel cyberspazio, dove la delegittimazione, il doxing, la sottrazione di identità e la compromissione dei canali sicuri fanno parte di un unico disegno repressivo che mira a zittire, screditare o neutralizzare l'informazione indipendente.
Dal punto di vista tecnico, l'attacco sembra essere stato portato a termine attraverso una serie di passaggi successivi che dimostrano un’ottima conoscenza del comportamento umano prima ancora che dei sistemi: si parla di malware diffuso attraverso Telegram, sotto forma di link malevoli o documenti Word infetti condivisi da contatti apparentemente fidati, che una volta aperti installavano strumenti di accesso remoto o keylogger in grado di aggirare meccanismi di autenticazione e raccogliere informazioni sensibili come credenziali, configurazioni interne, conversazioni cifrate e file in transito, con particolare attenzione a quei canali come Secure Line che teoricamente dovrebbero garantire anonimato e sicurezza ai whistleblower e alle fonti all’interno del Paese, ma che in questo caso sono stati invece trasformati in una trappola micidiale proprio perché compromessi in modo silenzioso, persistente e mirato, con tempistiche che fanno pensare a un'infiltrazione durata mesi.
A distanza di pochi giorni dalla rivendicazione, i giornalisti della redazione hanno denunciato anche attacchi personali, con pubblicazione di email private, accuse pubbliche di collaborazione con il Mossad e tentativi di discredito personale attraverso la diffusione di contenuti decontestualizzati o manipolati, una strategia nota e già vista in passato nelle campagne di guerra ibrida condotte dalla Russia o dalla Corea del Nord, dove l'obiettivo non è solo colpire l’infrastruttura ma anche infangare l’individuo, isolarlo socialmente e professionalmente, delegittimarlo, renderlo vulnerabile psicologicamente fino a costringerlo all’auto-censura o alla fuga.
L’attacco di Handala, se realmente confermato nella sua portata, è un’operazione chirurgica e d’impatto, frutto di una guerra asimmetrica che si combatte non sul campo con armi convenzionali ma nei canali di comunicazione, nei server, nelle menti delle persone, e che dimostra ancora una volta quanto la sicurezza informatica non sia solo una questione di firewall e patch ma anche e soprattutto di contesto geopolitico, equilibrio del potere, propaganda e percezione pubblica, e quanto fragile sia l’ecosistema informativo quando l’infrastruttura tecnica cade nelle mani di chi sa usarla come arma.
Commenti
Posta un commento