伊朗网络组织 Handala 宣称入侵加州水务公司 (Cal Water)

水务公司遭黑客入侵
与伊朗有关联的威胁行为者 Handala 本周吹嘘已入侵加州水务公司 (Cal Water)，并发布了据称从这家美国水务公司窃取的 5GB 数据。

在其博客的一篇文章中，该黑客组织表示，此次入侵是对美国近期在伊朗行动的报复，并声称他们有能力中断供水，但选择不这样做。

尽管尚未确认 Handala 获得的访问权限级别，但威胁情报公司 Dataminr 表示，该威胁行为者可能入侵了 Cal Water 的 RTKBase 实例（一个 GNSS 基站平台），然后横向移动到了计费系统。

Cal Water 是美国最大的投资者所有的水务公司之一，在加州的 100 个社区拥有约 200 万客户。

这家网络安全公司表示，Cal Water 的 Chico 区已被确认为此次攻击的受害者。Handala 泄露的数据显示，其可能访问了客户计费数据库和 Cal Water 的内部 RTKBase 应用程序。

Dataminr 指出：“在访问时，RTKBase 实例已连续运行约 783 小时，GPS 校正数据在所有七个已识别的区域挂载点之间传输。”

该公司表示：“计费系统和 RTKBase 平台代表不同的基础设施。RTKBase 网络被评估为可能的初始访问载体或横向支点，使攻击者能够到达计费环境。”

Handala 的泄露数据

Handala 的泄露数据似乎是一个批量数据库导出文件，包含个人身份信息 (PII)，如姓名、地址、电话号码、账户号码和支付历史。

它还包括 RTKBase 平台的管理凭证以及挂载点级别的 NTRIP 源密码。该威胁行为者还对与 Cal Water 在七个区域的 NTRIP 网络相关联的 IP 地址进行了枚举。

Dataminr 指出：“虽然在此次事件中尚未确认 OT/ICS（运营技术/工业控制系统）中断，但 Handala 部署的工具包包括自定义擦除器（win.handala、Handala Wiper、Hamsa Wiper）和覆盖 MBR 的能力。该组织已表现出在同一活动周期内从数据窃取升级为破坏性行动的意愿，Stryker 事件就是证明。”

该公司表示，泄露数据中暴露的所有凭证都应被视为已泄露并立即轮换；RTKBase 实例应下线并进行审计；并且应审查网络分段和计费系统的访问日志。

Cal Water 尚未公开承认此次入侵。SecurityWeek 已向该公司发送电子邮件寻求声明，如果得到回复将更新本文。

美国将 Handala 与伊朗情报与安全部 (MOIS) 联系起来，该组织至少自 2008 年以来一直活跃，也被追踪为 Handala Hack、Banished Kitten、Dune、Hanzalah Hacking Group、Homeland Justice、Red Sandstorm、Storm-0842 和 Void Manticore。

该组织以从事广泛的活动而闻名，从黑客行动主义到破坏性攻击，主要专注于数据窃取、部署擦除恶意软件和心理战。

Dataminr 指出：“Handala 的行动模式通常涉及最初的声明，随后是升级的行动。安全团队应将此次披露视为破坏性后续行动的可能前兆，并据此做好准备。”