Handala reivindica ataque à Cal Water: 5 GB vazados expuseram PII de clientes e credenciais do RTKBase

O grupo iraniano Handala, ligado pelos Estados Unidos ao Ministério da Inteligência e Segurança (MOIS), reivindicou o ataque à California Water Service (Cal Water), uma das maiores concessionárias privadas de água dos EUA, com cerca de 2 milhões de clientes. O grupo publicou 5 GB de dados supostamente exfiltrados, incluindo PII de clientes e credenciais administrativas do RTKBase, e afirmou ter optado por não interromper o fornecimento de água como retaliação a ações americanas no Irã. A inteligência da Dataminr aponta movimentação lateral entre uma plataforma de estação base GNSS e o sistema de cobrança.

O que aconteceu

O Handala anunciou o ataque em seu blog, vinculando-o a uma resposta a ações recentes do governo dos EUA contra o Irã. Os 5 GB publicados parecem ser uma exportação em massa de banco de dados, contendo nomes, endereços, telefones, números de conta e histórico de pagamentos de clientes da Cal Water, mais credenciais administrativas para o RTKBase — plataforma GNSS usada para correção de posicionamento de alta precisão por equipes de campo.

A confirmação inicial do invasor aponta para o Distrito de Chico, no norte da Califórnia. A Cal Water ainda não reconheceu publicamente a invasão até o fechamento desta nota; o SecurityWeek afirmou ter contatado a empresa, e atualizará a matéria caso haja resposta. O caso ocorre em meio a tensões geopolíticas elevadas entre Washington e Teerã, contexto que historicamente acompanha picos de atividade do Handala.

Como o ataque funcionou

A análise técnica vem da Dataminr, que avalia que o vetor inicial provável foi a instância RTKBase exposta da Cal Water — não a rede corporativa ou o sistema de cobrança em si. A plataforma, à época do acesso, estava em operação contínua havia aproximadamente 783 horas, com dados de correção GPS sendo transmitidos em sete pontos de montagem distritais (mountpoints NTRIP).

A partir daí, o atacante teria pivotado para o ambiente de cobrança, embora as duas plataformas sejam descritas como infraestruturas distintas. O dump exposto inclui não apenas o banco de clientes, mas credenciais administrativas do RTKBase e a senha de fonte NTRIP no nível do mountpoint, além de enumeração de endereços IP associados à rede NTRIP da Cal Water nos sete distritos.

“Embora a disrupção OT/ICS não esteja confirmada neste incidente, o arsenal do Handala inclui wipers customizados (win.handala, Handala Wiper, Hamsa Wiper) e capacidades de sobrescrita de MBR. O grupo já demonstrou disposição para escalar de roubo de dados a operações destrutivas dentro do mesmo ciclo de campanha.” — Dataminr

Quem é o Handala

Ativo desde pelo menos 2008, o Handala é um dos atores mais antigos no portfólio de operações cibernéticas atribuídas ao Irã. Diferentes fornecedores e governos o rastreiam por nomes distintos:

• Handala Hack
• Banished Kitten
• Dune
• Hanzalah Hacking Group
• Homeland Justice
• Red Sandstorm
• Storm-0842
• Void Manticore

Sua identidade operacional alterna entre hacktivismo declarado e ataques destrutivos, com foco em três atividades centrais: exfiltração de dados, deploy de wipers e operações psicológicas — esta última é o motivo pelo qual o grupo publica seus feitos em blog, em vez de monetizá-los discretamente.

Por que importa para infraestrutura crítica

• O incidente toca uma concessionária com 2 milhões de clientes, em um setor classificado pela CISA como serviço crítico essencial
• A exposição não envolveu apenas dados, mas também infraestrutura de posicionamento (NTRIP/GNSS) usada para operações de campo
• O padrão operacional do Handala tipicamente começa com uma reivindicação pública, seguida de escalada destrutiva — a mesma sequência observada no incidente Stryker
• O caso reforça que sistemas de TI corporativa e plataformas de apoio a OT compartilham trajetos de movimentação lateral, mesmo quando teoricamente segmentados
• Em um ambiente geopolítico tenso, ataques anunciados servem também a uma função simbólica e diplomática, não apenas técnica

Análise

Há um padrão claro: cada nova crise diplomática entre Estados Unidos e Irã reverbera em operações cibernéticas atribuídas a Teerã contra utilities norte-americanas. Em ciclos anteriores, observamos campanhas do CyberAv3ngers contra CLPs Unitronics em estações de tratamento de água, e ataques do próprio Handala contra alvos em Israel e tropas dos EUA no Bahrein. A Cal Water entra agora nessa lista.

Tecnicamente, o caso ilustra um problema recorrente em utilities: a presença de sistemas auxiliares — como RTKBase para correção de GPS — que escapam ao inventário formal de OT e a rotinas de hardening, mas tocam tanto a rede corporativa quanto operações em campo. Atacantes maduros leem essa lacuna como oportunidade de entrada.

Para a realidade brasileira, o ponto não é descartar o alerta como “problema americano”. Setores de saneamento, transmissão elétrica, transporte e logística no país operam com combinações similares: SCADA antigo, ERP corporativo, ferramentas auxiliares em estações de campo, integrações ad hoc com provedores terceiros. As lições do caso Cal Water são diretamente transferíveis — e a janela entre reivindicação pública e ação destrutiva costuma ser estreita.

Recomendações práticas

• Tire a instância RTKBase comprometida do ar e audite imediatamente todos os mountpoints expostos publicamente
• Rotacione todas as credenciais administrativas e senhas de fonte NTRIP expostas no dump — tratá-las como queimadas
• Revise segmentação entre a plataforma GNSS de apoio e o sistema de cobrança; auditoria de logs de acesso cross-tenant
• Implemente caça ativa por IOCs do Handala (win.handala, Handala Wiper, Hamsa Wiper) em endpoints administrativos e servidores que tocam OT
• Considere a reivindicação pública como possível precursor de fase destrutiva; eleve nível de monitoramento por 72 horas e prepare procedimentos de isolamento
• Para utilities brasileiras: revisem o inventário de sistemas auxiliares (GPS, telemetria de campo, gateways IoT) e bloqueiem acesso direto à internet em painéis administrativos
• Mantenha backups offline e testes recentes de restauração de MBR, já que o arsenal do grupo inclui wipers com sobrescrita de boot

Fonte: SecurityWeek