Handala reivindica ataque à Cal Water: 5 GB vazados expuseram PII de clientes e credenciais do RTKBase
Grupo iraniano ligado ao MOIS publica 5 GB com dados de clientes e credenciais administrativas do RTKBase da California Water Service. Dataminr aponta plataforma GNSS como vetor inicial e alerta para risco de escalada destrutiva.
Large water treatment facility in Florida, USA. Industrial infrastructure for municipal water purification and wastewater processing. SSUCv3H4sIAAAAAAAACoRTu47bMBDsA+QfBNYngA8906dIESBFukMKSlzbxFGkQFJ3OBj+95CSKdPGXdKJM/uYnV2dv34pCjRwJ0f0rTjHV3hLpRbnLffS6ADjpytuQQuwOfJqWYNzgMv8BUJ6YyVXOThwP540nyCAelEqwpeVRM5zvzhwmRZhgU/OyzWc7W0Un95zgFBmDzkgYDZO+vlkvIn1WNZm5B6OQdddo2TC8/YuErGSISNQ6IcW0Zg40FPGumWI7C/zBrbgWhTfNdjjO0ohW9tPav6G4IZRJsR/UPOndCMoxTWYxd0Kbh9/djuOoMfox/mSjWlBAd/cfN5C0cubBzutY1+D+CKkyWx4NSNXj4ZxOXPL7/JmK0epjxli/Gk9jlRpNIv2NqpClNI0HFLGzHxQcZ2H0AkSfuLOhQyR8HxfwXQzZa208etYaKuKRFhofBLG+oZ1pMGs7rqe9i3KD+skQ51VUdK4zMpwAbHpvpr7kyNtTZqWVYzs29mvb+e6G5cOceMqgumNe7zJLaap6noLSXcSlz9J7/+nq216TPqPeweOUvbv3iGmYtXHc/U4CKNXXXe/qBlfpPj0F0UsZHZtQ5t940kWGmQ4ZKNojVuMKcZ7xKM41NGgoGdVt4ckbYgOrCGM0xJERcpKiLHsa9aX4wET3BHatrRaf5SrYBlNRIKRAzSHoSQV4SGrG8qOE1JC345AAAtBIGRd/gIAAP//AwCMDq8TEQUAAA==
O grupo iraniano Handala, ligado pelos Estados Unidos ao Ministério da Inteligência e Segurança (MOIS), reivindicou o ataque à California Water Service (Cal Water), uma das maiores concessionárias privadas de água dos EUA, com cerca de 2 milhões de clientes. O grupo publicou 5 GB de dados supostamente exfiltrados, incluindo PII de clientes e credenciais administrativas do RTKBase, e afirmou ter optado por não interromper o fornecimento de água como retaliação a ações americanas no Irã. A inteligência da Dataminr aponta movimentação lateral entre uma plataforma de estação base GNSS e o sistema de cobrança.
O que aconteceu
O Handala anunciou o ataque em seu blog, vinculando-o a uma resposta a ações recentes do governo dos EUA contra o Irã. Os 5 GB publicados parecem ser uma exportação em massa de banco de dados, contendo nomes, endereços, telefones, números de conta e histórico de pagamentos de clientes da Cal Water, mais credenciais administrativas para o RTKBase — plataforma GNSS usada para correção de posicionamento de alta precisão por equipes de campo.
A confirmação inicial do invasor aponta para o Distrito de Chico, no norte da Califórnia. A Cal Water ainda não reconheceu publicamente a invasão até o fechamento desta nota; o SecurityWeek afirmou ter contatado a empresa, e atualizará a matéria caso haja resposta. O caso ocorre em meio a tensões geopolíticas elevadas entre Washington e Teerã, contexto que historicamente acompanha picos de atividade do Handala.
Como o ataque funcionou
A análise técnica vem da Dataminr, que avalia que o vetor inicial provável foi a instância RTKBase exposta da Cal Water — não a rede corporativa ou o sistema de cobrança em si. A plataforma, à época do acesso, estava em operação contínua havia aproximadamente 783 horas, com dados de correção GPS sendo transmitidos em sete pontos de montagem distritais (mountpoints NTRIP).
A partir daí, o atacante teria pivotado para o ambiente de cobrança, embora as duas plataformas sejam descritas como infraestruturas distintas. O dump exposto inclui não apenas o banco de clientes, mas credenciais administrativas do RTKBase e a senha de fonte NTRIP no nível do mountpoint, além de enumeração de endereços IP associados à rede NTRIP da Cal Water nos sete distritos.
“Embora a disrupção OT/ICS não esteja confirmada neste incidente, o arsenal do Handala inclui wipers customizados (win.handala, Handala Wiper, Hamsa Wiper) e capacidades de sobrescrita de MBR. O grupo já demonstrou disposição para escalar de roubo de dados a operações destrutivas dentro do mesmo ciclo de campanha.” — Dataminr
Quem é o Handala
Ativo desde pelo menos 2008, o Handala é um dos atores mais antigos no portfólio de operações cibernéticas atribuídas ao Irã. Diferentes fornecedores e governos o rastreiam por nomes distintos:
- Handala Hack
- Banished Kitten
- Dune
- Hanzalah Hacking Group
- Homeland Justice
- Red Sandstorm
- Storm-0842
- Void Manticore
Sua identidade operacional alterna entre hacktivismo declarado e ataques destrutivos, com foco em três atividades centrais: exfiltração de dados, deploy de wipers e operações psicológicas — esta última é o motivo pelo qual o grupo publica seus feitos em blog, em vez de monetizá-los discretamente.
Por que importa para infraestrutura crítica
- O incidente toca uma concessionária com 2 milhões de clientes, em um setor classificado pela CISA como serviço crítico essencial
- A exposição não envolveu apenas dados, mas também infraestrutura de posicionamento (NTRIP/GNSS) usada para operações de campo
- O padrão operacional do Handala tipicamente começa com uma reivindicação pública, seguida de escalada destrutiva — a mesma sequência observada no incidente Stryker
- O caso reforça que sistemas de TI corporativa e plataformas de apoio a OT compartilham trajetos de movimentação lateral, mesmo quando teoricamente segmentados
- Em um ambiente geopolítico tenso, ataques anunciados servem também a uma função simbólica e diplomática, não apenas técnica
Análise
Há um padrão claro: cada nova crise diplomática entre Estados Unidos e Irã reverbera em operações cibernéticas atribuídas a Teerã contra utilities norte-americanas. Em ciclos anteriores, observamos campanhas do CyberAv3ngers contra CLPs Unitronics em estações de tratamento de água, e ataques do próprio Handala contra alvos em Israel e tropas dos EUA no Bahrein. A Cal Water entra agora nessa lista.
Tecnicamente, o caso ilustra um problema recorrente em utilities: a presença de sistemas auxiliares — como RTKBase para correção de GPS — que escapam ao inventário formal de OT e a rotinas de hardening, mas tocam tanto a rede corporativa quanto operações em campo. Atacantes maduros leem essa lacuna como oportunidade de entrada.
Para a realidade brasileira, o ponto não é descartar o alerta como “problema americano”. Setores de saneamento, transmissão elétrica, transporte e logística no país operam com combinações similares: SCADA antigo, ERP corporativo, ferramentas auxiliares em estações de campo, integrações ad hoc com provedores terceiros. As lições do caso Cal Water são diretamente transferíveis — e a janela entre reivindicação pública e ação destrutiva costuma ser estreita.
Recomendações práticas
- Tire a instância RTKBase comprometida do ar e audite imediatamente todos os mountpoints expostos publicamente
- Rotacione todas as credenciais administrativas e senhas de fonte NTRIP expostas no dump — tratá-las como queimadas
- Revise segmentação entre a plataforma GNSS de apoio e o sistema de cobrança; auditoria de logs de acesso cross-tenant
- Implemente caça ativa por IOCs do Handala (win.handala, Handala Wiper, Hamsa Wiper) em endpoints administrativos e servidores que tocam OT
- Considere a reivindicação pública como possível precursor de fase destrutiva; eleve nível de monitoramento por 72 horas e prepare procedimentos de isolamento
- Para utilities brasileiras: revisem o inventário de sistemas auxiliares (GPS, telemetria de campo, gateways IoT) e bloqueiem acesso direto à internet em painéis administrativos
- Mantenha backups offline e testes recentes de restauração de MBR, já que o arsenal do grupo inclui wipers com sobrescrita de boot
Fonte: SecurityWeek
