Um grupo de hackers ligado ao Irã invadiu a California Water Service, uma das maiores companhias de água dos Estados Unidos, e roubou dados de 2 milhões de clientes. O grupo Handala, associado aos serviços de inteligência iranianos, publicou um arquivo de 5 GB com informações pessoais e credenciais de acesso. O ataque entrou por uma estação GPS exposta na internet, e o grupo afirmou que poderia interromper o abastecimento de água, mas escolheu não fazer isso — por enquanto.
Pontos-chave do ataque
- Vítima: California Water Service (Cal Water), ~2 milhões de clientes em 100 comunidades
- Atacante: Handala, grupo ligado ao Ministério da Inteligência e Segurança do Irã (MOIS)
- Vetor de entrada: estação GPS RTKBase exposta na internet, acessível pela porta 10000
- Dados vazados: 5 GB com nomes, endereços, telefones, histórico de pagamentos e credenciais administrativas em texto plano
- Ameaça: o grupo declarou ter capacidade de interromper o fornecimento de água e usou wipers destrutivos em ataques anteriores
Como o ataque aconteceu
A invasão começou por um ponto de entrada inusitado: uma instância do RTKBase, uma aplicação de código aberto usada como estação base GNSS para fornecer correções de GPS com precisão centimétrica às equipes de campo da companhia. O sistema, frequentemente implantado em hardware simples como um Raspberry Pi, tinha sua interface de gerenciamento acessível pela internet na porta 10000 — fácil de encontrar, fácil de acessar e, aparentemente, sem proteção adequada.
Segundo a análise da empresa de inteligência de ameaças Dataminr, reportada pela SecurityWeek, a instância do RTKBase estava operando há aproximadamente 783 horas contínuas no momento do acesso, com dados de correção GPS transmitidos para sete distritos da Cal Water: Bakersfield, Chico, Salinas, Stockton, Visalia, San Mateo e um segmento regional de engenharia. O RTKBase não era o alvo final — funcionou como ponto de pivoteamento para que os atacantes se movessem lateralmente até o sistema de faturamento de clientes.
As credenciais administrativas da plataforma RTKBase e a senha de origem NTRIP em nível de mountpoint foram publicadas em texto plano no despejo de dados. O bloco de endereços IP que sustentava a rede NTRIP de todos os sete distritos também foi integralmente enumerado e exposto pelo grupo.
O que foi roubado
O grupo publicou um despejo de 5 GB descrito como uma exportação em massa do banco de dados de faturamento de clientes. Os dados contêm informações pessoalmente identificáveis incluindo nomes, endereços de serviço, números de telefone, números de conta e históricos de pagamento de clientes em múltiplos distritos da Cal Water. O distrito de Chico foi confirmado como uma das vítimas do ataque.
Além dos dados de clientes, o despejo incluiu credenciais administrativas da plataforma RTKBase e senhas da rede NTRIP — todas em texto plano, sem qualquer criptografia. A recomendação imediata da Dataminr é considerar todas as credenciais expostas como comprometidas, tirar as instâncias do RTKBase do ar para auditoria e revisar a segmentação de rede entre a infraestrutura de GPS e o ambiente de faturamento. Esses dois sistemas nunca deveriam ter conseguido se comunicar diretamente.
Quem é a Handala
Handala é amplamente reconhecida pela comunidade de segurança como uma fachada operacional da Void Manticore, também rastreada como Red Sandstorm, Banished Kitten e Homeland Justice — um grupo afiliado ao Ministério da Inteligência e Segurança do Irã (MOIS). Pesquisadores da Check Point confirmaram que Handala opera pelo menos desde dezembro de 2023 e expandiu significativamente suas operações contra alvos nos Estados Unidos desde fevereiro de 2026, quando o confronto militar entre Estados Unidos e Irã se intensificou.
O grupo é conhecido por uma combinação perigosa de táticas: roubo de dados seguido de extorsão, operações de informação e guerra psicológica, e ataques destrutivos com wipers — programas que apagam dados de forma irreversível. O toolkit implantado pela Handala inclui wipers personalizados identificados como win.handala, Handala Wiper e Hamsa Wiper, além de ferramentas de sobrescrita de MBR (Master Boot Record). Em março de 2026, o grupo paralisou a gigante de tecnologia médica Stryker com um ataque puramente destrutivo, sem exigência de resgate — apenas para causar dano máximo. Esse padrão de malware destrutivo sem recuperação é semelhante ao observado em outras famílias de ransomware que priorizam a destruição sobre a extorsão.
A ameaça de cortar o abastecimento
O aspecto mais alarmante do ataque é a declaração explícita do grupo. Em seu comunicado, Handala afirmou que tinha a capacidade de interromper o acesso à água, mas escolheu não exercê-la — uma ameaça velada que sugere que a próxima incursão pode não ter a mesma restrição. Nenhuma interrupção nos processos de tratamento de água, sistemas SCADA ou dosagem de produtos químicos foi confirmada neste incidente, mas o potencial existe.
A CISA, agência de cibersegurança dos Estados Unidos, havia emitido um alerta específico neste ano sobre o direcionamento iraniano ao setor de água do país. Como observou o site Security Affairs, a doutrina declarada da Handala foca em atingir sistemas “essenciais à vida” para máximo impacto social e psicológico. O grupo declarou que o ataque foi retaliação por ações militares recentes dos Estados Unidos contra reservatórios no Irã. A Dataminr alerta que o padrão operacional da Handala envolve uma reivindicação inicial seguida de ação escalada, e que as equipes de segurança devem tratar o ataque atual como um possível precursor de uma operação destrutiva.
Lições para infraestrutura crítica
O ataque à Cal Water expõe uma vulnerabilidade estrutural que afeta operadoras de serviços essenciais em todo o mundo, inclusive no Brasil. Dispositivos de tecnologia operacional (OT) e sistemas de monitoramento — como estações GPS, sensores IoT e controladores SCADA — frequentemente são implantados com configurações padrão, interfaces web acessíveis e sem segmentação adequada da rede corporativa. Quando um atacante compromete um desses dispositivos, pode usar essa posição como trampolim para alcançar sistemas mais sensíveis, como bancos de dados de clientes ou, em cenários piores, controles de infraestrutura física.
| Etapa do ataque | Como prevenir |
|---|---|
| Estação GPS exposta na internet | Remover interfaces web de dispositivos OT do acesso público; usar VPN para acesso remoto |
| Credenciais em texto plano | Armazenar todas as senhas com hash forte; rotacionar credenciais expostas imediatamente |
| Movimento lateral para faturamento | Segmentar redes OT e corporativas; bloquear tráfego entre zonas não relacionadas |
| Acesso sem autenticação multifator | Implementar MFA em todos os pontos de acesso administrativo |
Operadoras brasileiras de água, energia e saneamento precisam mapear sua superfície de ataque exposta na internet e garantir que dispositivos de campo — de estações GPS a sensores remotos — não ofereçam um caminho direto para sistemas de back-office ou de controle industrial. A janela entre um dispositivo exposto e um banco de dados de milhões de clientes pode ser tão curta quanto um pivoteamento lateral mal segmentado. A persistência silenciosa em redes de infraestrutura é uma tática cada vez mais comum entre grupos estatais, como demonstrado recentemente por operações de espionagem atribuídas à China. A infraestrutura crítica é o alvo preferido desses grupos porque o impacto vai muito além de dados: afeta a vida de milhões de pessoas.
Referências
- Security Affairs — Iran-Linked Handala Breached a California Water Utility
- SecurityWeek — Iranian Cyber Group Handala Claims Cal Water Hack
- Check Point Research — Handala Hack: Unveiling Group’s Modus Operandi
- RedState — Iranian Hackers Take Credit for Cyber Attack Targeting California Water Utilities