Az amerikai hatóságok lefoglaltak két, a Handala nevű iráni kötődésű hacktivista csoporthoz kapcsolt weboldalt.
A műveletet az FBI vezette az amerikai igazságügyi minisztériummal együtt, és néhány nappal a Stryker elleni, nagy visszhangot kiváltó támadás után hajtották végre. A lefoglalt domainek FBI-seizure üzenetre mutatnak, a technikai infrastruktúra pedig szintén hatósági ellenőrzés alá került.
Az egyik oldal a Handala akcióinak propagálására szolgált, a másik pedig doxing célokra, vagyis személyes adatok közzétételére. A lefoglalási üzenet szövege arra utal, hogy az amerikai hatóságok a domaineket olyan kibertevékenységhez kötötték, amely külföldi állami szereplő érdekében vagy azzal összehangoltan történt. Az FBI és a DOJ a nyilvánosság előtt ekkor még nem közölt részletesebb magyarázatot, így az sem ismert, lesznek-e vádemelések vagy letartóztatások.
A Handala Telegramon reagált, és a lépést cenzúrának nevezte, miközben azt állította, hogy a művelet nem állítja meg a csoportot. Ezzel párhuzamosan az X-fiókját is felfüggesztették, ami tovább szűkítette a nyilvános elérését.
A lefoglalás közvetlen előzménye a Stryker elleni 2026. március 11-i támadás volt. A Stryker szerint az incidens globális zavart okozott a Microsoft-környezetében, és hatással volt a rendelésfeldolgozásra, a gyártásra és a szállításra is. A Reuters szerint a vállalat később közölte, hogy a támadást sikerült lokalizálni, de a helyreállítás még folyamatban van.
A nyilvánosságra került beszámolók szerint a támadók egy Intune-adminisztrátori fiók kompromittálásával jutottak be, majd közel 80 000 eszközt töröltek a Microsoft Intune-on keresztül. A Handala ennél jóval nagyobb számokat és 50 TB adatlopást állított, de ezek közül több állítást a vizsgálatok nem erősítettek meg. A Reuters és más források szerint a fő bizonyított hatás a globális működési zavar és a tömeges eszköztörlés volt.
Az ügy azért is különösen érzékeny, mert a Stryker amerikai védelmi beszállítói kapcsolatait is kiemelték a beszámolók, és az eset jól mutatja, mennyire elmosódik a határ a hacktivizmus, az állami műveletek és a geopolitikai nyomásgyakorlás között. A Handalát több forrás iráni kötődésű, részben állami érdekeket tükröző szereplőként írja le, bár a közvetlen, teljes bizonyosságú attribúció továbbra is nehéz.
A támadás után a CISA arra figyelmeztette az amerikai szervezeteket, hogy erősítsék meg az endpoint menedzsment rendszereik védelmét, különösen a Microsoft Intune környezeteket. A kapcsolódó ajánlások közé tartozik a least-privilege modell, a többadminos jóváhagyás az érzékeny műveletekhez, valamint a phishing-ellenálló MFA és a szigorúbb privilegizált hozzáférés-kezelés.
