Powiązani z Iranem hakerzy ujawnili maile szefa FBI. USA oferują 10 mln USD

Iran-linked hackers from the group Handala Hack Team claimed responsibility on Friday for breaching the personal email account of FBI Director Kash Patel, publishing private photographs and correspondence online in what the group described as retaliation for recent U.S. actions against it. A Justice Department official confirmed to Reuters that Patel's emails were compromised, and an FBI spokesman, Ben Williamson, acknowledged the breach while noting that the stolen material predates Patel's 2025 appointment as bureau director. The leaked files, posted on a website bearing the Handala name, included personal photos showing Patel smoking cigars, posing beside a vintage convertible, and taking a selfie next to a bottle of liquor, as well as correspondence spanning from 2010 to 2019. Reuters reviewed a sample of the uploaded material and found it to be a mix of personal and work correspondence, though the agency was unable to immediately authenticate all of the emails. The Gmail address used in the breach matched an address previously associated with Patel in earlier data leaks, according to Reuters.

The Handala group has been one of the most active cyber actors since the start of the U.S.-Israel war against Iran, which began on February 28, 2026. The U.S. Justice Department seized several Handala domain names in the week prior to the breach, saying Iran's Ministry of Intelligence and Security had been using the websites to spread what it described as terrorist propaganda, conduct psychological operations, and call for the killing of journalists and dissidents. According to the BBC, Patel had also been targeted by Iranian-backed hackers in 2024, weeks before his appointment to lead the FBI.

FBI nazywa dane „historycznymi”, Departament Stanu ogłasza nagrodę 10 mln USD FBI szybko próbowało ograniczyć polityczne skutki ujawnienia, uznając wyciekłe materiały za nieistotne z punktu widzenia bezpieczeństwa i nieaktualne. „The F.B.I. is aware of malicious actors targeting Director Patel's personal email information, and we have taken all necessary steps to mitigate potential risks associated with this activity. The information in question is historical in nature and involves no government information.” — Ben Williamson via The New York Times Zestaw plików opublikowanych na stronie miał zawierać ponad 300 wiadomości z konta Gmail używanego przez Patela, od najstarszej z lutego 2010 roku do najnowszej z lutego 2022 roku, podał „New York Times”. Większość wiadomości pochodziła z lat 2010–2014, gdy Patel pracował jako federalny obrońca z urzędu w Miami i ubiegał się o stanowisko w wydziale ds. bezpieczeństwa narodowego w Departamencie Sprawiedliwości. Uruchomiono program Rewards for Justice, a Departament Stanu zaoferował 10 (million USD) — nagrodę za informacje prowadzące do identyfikacji członków Handala Hack Team za informacje prowadzące do identyfikacji członków Handala. Departament Stanu opublikował ofertę w języku perskim na swoim oficjalnym koncie, bezpośrednio kierując ją do potencjalnych informatorów w irańskich sieciach cybernetycznych, podał Ziare.com.

Hakerzy wskazują zatopienie fregaty i przejęcie domen jako motyw Handala przedstawiła atak jako bezpośrednią odpowiedź na dwa konkretne działania USA: przejęcie domen grupy przez FBI oraz rzekome storpedowanie irańskiej fregaty Dena przez amerykański okręt podwodny na początku marca 2026 roku na wodach międzynarodowych u wybrzeży Sri Lanki. Oświadczenie grupy było poświęcone, jak napisano, męczennikom z Dena i odnosiło się do ponad 80 marynarzy, którzy mieli zginąć w tym incydencie, podał 20minutes, powołując się na AFP. Na swojej stronie Handala oświadczyła, że rzekomo nie do sforsowania systemy FBI zostały złamane w ciągu kilku godzin. „To jest to bezpieczeństwo, którym chwali się rząd USA?! To jest ten cybergigant, który uważa, że groźby i łapówki uciszą głos oporu?!” — Handala Hack Team via BBC „New York Times” napisał, że strona hostująca wyciekłe pliki była obsługiwana przez serwer komputerowy znajdujący się w Rosji, a jej domenę zarejestrowano 19 marca przez podmiot, który identyfikował się jako Królestwo Tonga. Narzędzie do analizy cyberbezpieczeństwa VirusTotal ostrzegło, że strona może instalować złośliwe oprogramowanie na urządzeniach odwiedzających, podał dziennik. Pytania o infrastrukturę strony zwiększyły niepewność co do tego, kto dokładnie przeprowadził włamanie, choć Handala przypisała je sobie w całości.

Atak typu „wiper” na Stryker pokazuje eskalację działań Handali Włamanie na konto Patela nie było odosobnionym incydentem, lecz częścią szerszej kampanii cyberataków przypisywanych Handali w ostatnich tygodniach. Na początku marca grupa wzięła na siebie odpowiedzialność za atak typu „wiper” na Stryker, amerykańską firmę technologiczną z branży medycznej z siedzibą w stanie Michigan, w którym stronę logowania pracowników firmy zniekształcono wiadomością twierdzącą, że dane zostały skasowane. Handala podała na swoim obecnie zawieszonym koncie X, że usunęła ponad 200 000 systemów, serwerów i urządzeń mobilnych oraz pozyskała 50 terabajtów danych krytycznych ze Stryker, podał BBC. Grupa stwierdziła, że atak na Stryker był odwetem za to, co określiła jako izraelski atak na irańską szkołę dla dziewcząt na początku wojny, w którym zginęło ponad 160 osób, a także za trwające operacje cybernetyczne przeciwko irańskiej infrastrukturze. Badacze cyberbezpieczeństwa wiążą Handalę z irańskim Ministerstwem Wywiadu i Bezpieczeństwa, choć grupa publicznie przedstawia się jako pro-palestyński kolektyw hacktywistyczny. Teheran oficjalnie zaprzeczył udziałowi w włamaniu na konto Patela, podał 20minutes. Google, właściciel Gmaila, nie skomentował incydentu, poinformowała Deutsche Welle.