(in)sicurezza digitale

2026-04-15 13:46:10

Handala e la Cyber-Offensiva dell’Iran: 6 Petabyte distrutti e 149 Terabyte rubati dall’infrastruttura critica di Dubai

Si parla di:
Toggle

• Portata e natura dell’attacco
• Attribution e legami con l’Iran
• Motivazione dichiarata e contesto geopolitico
• Implicazioni di sicurezza e defensive posture
• Raccomandazioni di difesa

Il 12 aprile 2026, il gruppo Handala, collegato ai servizi di intelligence iraniani, ha annunciato il successo di un attacco di proporzioni senza precedenti contro l’infrastruttura critica degli Emirati Arabi Uniti. L’operazione ha mirato alla Dubai Courts Authority, Dubai Land Authority e Dubai Roads & Transport Authority, risultando nel furto di 149 terabyte di documenti classificati e nella distruzione di 6 petabyte di dati, rappresentando una chiara escalation nella campagna di cyberguerra iraniana.

Portata e natura dell’attacco

L’attacco coordinato dal gruppo Handala rappresenta una categoria di operazione cybernetiche rara: la combinazione di dati wiper (per la distruzione) e exfiltration (per il furto). La selezione degli obiettivi rivela una strategia sofisticata focalizzata su istituzioni critiche che controllano documenti di valore geopolitico, proprietà intellettuale sensibile e informazioni su infrastrutture strategiche.

L’enorme volume di dati distrutti (6 petabyte equivale a circa 6 milioni di gigabyte) suggerisce che gli attaccatori avevano accesso profondo alle infrastrutture di storage primarie e di backup, un indicativo di una lunga permanenza nei sistemi target senza essere rilevati. Il gruppo ha pubblicamente rivendicato l’operazione con comunicati dettagliati, indicando che l’obiettivo non era nascondere l’attacco bensì massimizzare l’impatto psicologico e geopolitico.

Attribution e legami con l’Iran

Sebbene Handala si presenta pubblicamente come collettivo di hacker hacktivist pro-resistenza, analisti di sicurezza e agenzie governative hanno stabilito con elevata confidenza il collegamento con il Ministero dell’Intelligence iraniano (MOIS). Il gruppo fa parte di quello che DomainTools Investigations ha descritto come “un ecosistema coordinato di cyber-influenza” che include anche i gruppi Karma/KarmaBelow80 e Homeland Justice.

Questa struttura a facciata permette all’Iran di mantenere una negazione plausibile mentre conduce operazioni cybernetiche offensive contro i nemici geopolitici e gli alleati regionali. La scelta di Dubai specificamente è significativa: gli EAU hanno in anni recenti normalizzato relazioni con Israele e hanno aumentato partnership strategiche con Stati Uniti e alleati occidentali, rendendoli un bersaglio prioritario per la rappresaglia iraniana.

Motivazione dichiarata e contesto geopolitico

Nel comunicato di rivendicazione, Handala ha caratterizzato l’operazione come risposta al “tradimento eclatante” dei leader degli Emirati, tracciando paralleli con figure storiche infami come Jeffrey Epstein. Questa retorica è coerente con la narrativa iraniana che dipinge gli EAU come traditori della causa palestinese per le relazioni normalizzate con Israele. Tuttavia, gli esperti di sicurezza sottolineano che la motivazione dichiarata funziona principalmente come cover narrativo per un’operazione principalmente geopolitica e economica.

Dati dell'Operazione:
- Data: 12 Aprile 2026
- Bersagli: 3 istituzioni critiche di Dubai
- Dati Rubati: 149 Terabyte (TB) di documenti classificati
- Dati Distrutti: 6 Petabyte (PB) = 6.000 Terabyte
- Attribution: MOIS Iran via Handala/Karma/Homeland Justice
- Reivindicazione: Pubblica tramite comunicati del gruppo

Implicazioni di sicurezza e defensive posture

L’attacco Handala rivela vulnerabilità critiche nelle infrastrutture di protezione dei dati dei servizi pubblici. La capacità di distruggere 6 petabyte di dati suggerisce che gli attaccatori avevano accesso non solo ai sistemi primari ma anche ai backup, compromettendo le fondamentali pratiche di business continuity e disaster recovery. I responsabili della sicurezza negli Emirati e nei governi alleati devono riconsiderare gli assunti di base sulla separazione geografica, logica e procedurale dei backup critici.

La scala dell’exfiltration (149 TB) suggerisce inoltre che l’attacco non è stato una penetrazione improvvisa ma il risultato di un accesso sostenuto nel tempo. Durante il dwell time (periodo di permanenza), gli attaccatori hanno avuto il tempo di identificare, localizzare e esfiltrare i dati di massimo valore geopolitico prima di eseguire le operazioni di wiper.

Raccomandazioni di difesa

• Implementare una strategia di backup geograficamente distribuita con separazione logica e procedurale dai sistemi primari
• Stabilire un sistema di detection comportamentale focalizzato su volume-based anomalies (movimentazione anomala di dati in massa)
• Implementare encryption at-rest per tutti i backup critici, con gestione chiavi separata dai sistemi operativi
• Eseguire un threat hunt specificamente focalizzato su indicatori di accesso persistente da attori iraniani
• Aumentare la collaborazione tra agenzie governative regionali per identificare indicatori comuni di compromesso
• Sviluppare incident response protocols specifici per scenari di wiper-plus-exfiltration

L’operazione Handala rappresenta un’ulteriore escalation nella campagna iraniana di cyberguerra regionale. Con la Corea del Nord che diversifica gli attacchi verso il settore DeFi e l’Iran che consolida la sua capacità offensiva contro lo stato regionale, il 2026 è emergendo come anno critico di ricalibramento della strategia di cyberwarfare a livello globale.

Handala e la Cyber-Offensiva dell'Iran: 6 Petabyte distrutti e 149 Terabyte rubati dall'infrastruttura critica di Dubai - (in)sicurezza digitale

Il 12 aprile 2026, il gruppo Handala legato all'Iran ha attaccato l'infrastruttura critica di Dubai, distruggendo 6 petabyte di dati e rubando 149 terabyte di documenti classificati da tre istituzioni governative emiratine in un'operazione che rappre…

^{Dario Fadda ((in)sicurezza digitale)}