Iran-nahe Hacker greifen FBI-Chef Kash Patel an und veröffentlichen Daten

Iran-linked hackers from the group Handala Hack Team haben am Freitag für sich reklamiert, das private E-Mail-Konto von FBI-Direktor Kash Patel gehackt zu haben, und private Fotos sowie Korrespondenz online gestellt. Die Gruppe bezeichnete dies als Vergeltung für jüngste US-Maßnahmen gegen sie. Ein Beamter des Justizministeriums bestätigte Reuters, dass Patels E-Mails kompromittiert worden seien. Ein FBI-Sprecher, Ben Williamson, räumte den Einbruch ein, wies jedoch darauf hin, dass das gestohlene Material aus der Zeit vor Patels Ernennung zum Behördenchef im Jahr 2025 stamme. Die geleakten Dateien, die auf einer Website unter dem Namen Handala veröffentlicht wurden, enthielten private Fotos, auf denen Patel Zigarren raucht, neben einem alten Cabrio posiert und ein Selfie neben einer Flasche Alkohol macht, sowie Korrespondenz aus den Jahren 2010 bis 2019. Reuters sichtete eine Auswahl des hochgeladenen Materials und kam zu dem Schluss, dass es sich um eine Mischung aus privater und dienstlicher Korrespondenz handelte. Die Agentur konnte jedoch nicht alle E-Mails sofort verifizieren. Die bei dem Einbruch verwendete Gmail-Adresse entsprach nach Angaben von Reuters einer Adresse, die Patel bereits in früheren Datenlecks zugeordnet worden war.

Die Gruppe Handala gehört seit Beginn des US-israelischen Kriegs gegen Iran, der am 28. Februar 2026 begann, zu den aktivsten Cyberakteuren. Das US-Justizministerium beschlagnahmte in der Woche vor dem Einbruch mehrere Domainnamen von Handala und erklärte, Irans Ministerium für Nachrichtendienste und Sicherheit habe die Websites genutzt, um nach Angaben der Behörde terroristische Propaganda zu verbreiten, psychologische Operationen durchzuführen und zur Tötung von Journalisten und Dissidenten aufzurufen. Nach Angaben der BBC war Patel bereits 2024 von iranisch unterstützten Hackern ins Visier genommen worden, Wochen vor seiner Ernennung an die Spitze des FBI.

FBI spricht von historischen Daten, Außenministerium setzt 10-Millionen-Dollar-Belohnung aus Das FBI bemühte sich rasch, den politischen Schaden durch die Veröffentlichung zu begrenzen, und stufte das offengelegte Material als nicht sensibel und veraltet ein. „Dem FBI ist bekannt, dass böswillige Akteure die persönlichen E-Mail-Informationen von Direktor Patel ins Visier genommen haben, und wir haben alle erforderlichen Maßnahmen ergriffen, um die mit dieser Aktivität verbundenen potenziellen Risiken zu mindern. Bei den betreffenden Informationen handelt es sich um historische Daten, und sie umfassen keine Regierungsinformationen.” — Ben Williamson via The New York Times Ein auf der Website veröffentlichtes Dateipaket schien mehr als 300 Nachrichten aus einem von Patel genutzten Gmail-Konto zu enthalten, von denen die früheste aus dem Februar 2010 und die jüngste aus dem Februar 2022 stammte, berichtete die New York Times. Die meisten Nachrichten datierten aus den Jahren 2010 bis 2014, als Patel als Bundesverteidiger in Miami arbeitete und sich für eine Stelle in der nationalen Sicherheitsabteilung des Justizministeriums bewarb. Als Reaktion wurde das Rewards for Justice-Programm aktiviert. Das Außenministerium bot 10 (Millionen US-Dollar) — eine Belohnung für Hinweise zur Identifizierung von Mitgliedern von Handala Hack Team für Informationen an, die zur Identifizierung von Handala-Mitgliedern führen. Das Außenministerium veröffentlichte das Angebot in Farsi auf seinem offiziellen Konto und richtete sich damit nach Angaben von Ziare.com direkt an mögliche Informanten innerhalb iranischer Cybernetzwerke.

Hacker verweisen auf Versenkung einer iranischen Fregatte und Domain-Beschlagnahmen Handala stellte den Angriff als direkte Reaktion auf zwei konkrete US-Maßnahmen dar: die Beschlagnahmung seiner Domainnamen durch das FBI und die angebliche Torpedierung der iranischen Fregatte Dena durch ein US-U-Boot Anfang März 2026 in internationalen Gewässern vor Sri Lanka. Die Erklärung der Gruppe war den nach ihren Angaben Märtyrern der Dena gewidmet und verwies damit auf mehr als 80 Seeleute, die bei dem Vorfall getötet worden sein sollen, wie 20minutes unter Berufung auf AFP berichtete. Auf seiner Website erklärte Handala, die angeblich unüberwindbaren Systeme des FBI seien innerhalb weniger Stunden kompromittiert worden. „Das ist also die Sicherheit, mit der die US-Regierung prahlt?! Das ist der Cyberriese, der glaubt, Drohungen und Bestechung könnten die Stimme des Widerstands zum Schweigen bringen?!” — Handala Hack Team via BBC Die New York Times berichtete, die Website, auf der die geleakten Dateien gehostet wurden, werde von einem Computerserver in Russland ausgeliefert, und die Domain der Seite sei am 19. März von einer Stelle registriert worden, die sich offenbar als das Königreich Tonga zu erkennen gebe. Das Cybersicherheitswerkzeug VirusTotal habe ein Risiko markiert, wonach die Website auf Geräten von Besuchern Schadsoftware platzieren könne, schrieb die Times. Die Fragen zur technischen Infrastruktur der Seite machten unklar, wer den Einbruch genau durchgeführt habe, auch wenn Handala die Tat vollständig für sich beanspruchte.

Stryker-Angriff vom Typ „Wiper“ verschärft Handalas jüngste Eskalation Der Einbruch in Patels Konto war kein isolierter Vorfall, sondern Teil einer breiteren Kampagne von Cyberangriffen, die Handala in den vergangenen Wochen für sich reklamierte. Bereits im März übernahm die Gruppe die Verantwortung für einen Wiper-Angriff auf Stryker, ein in Michigan ansässiges US-Unternehmen für Medizintechnik, bei dem die Login-Seite für Mitarbeiter mit einer Botschaft verändert worden war, wonach Daten gelöscht worden seien. Handala erklärte auf seinem inzwischen gesperrten X-Konto, es habe mehr als 200.000 Systeme, Server und Mobilgeräte gelöscht und 50 Terabyte an kritischen Daten von Stryker extrahiert, wie die BBC berichtete. Die Gruppe sagte, der Stryker-Angriff sei eine Reaktion auf einen israelischen Angriff auf eine iranische Mädchenschule zu Beginn des Krieges gewesen, bei dem nach ihren Angaben mehr als 160 Menschen getötet worden seien, sowie auf laufende Cyberoperationen gegen iranische Infrastruktur. Cybersicherheitsforscher ordnen Handala Irans Ministerium für Nachrichtendienste und Sicherheit zu, auch wenn sich die Gruppe öffentlich als pro-palästinensisches Hacktivisten-Kollektiv beschreibt. Teheran wies eine Beteiligung an dem Einbruch bei Patel offiziell zurück, wie 20minutes berichtete. Google, dem Gmail gehört, äußerte sich nicht zu dem Vorfall, wie Deutsche Welle meldete.