Handala rivendica l’attacco a Cal Water: la guerra cyber Iran-USA-Israele si proietta sulle infrastrutture idriche occidentali

Il fronte cibernetico del conflitto tra Iran e Israele esce dai confini mediorientali e raggiunge un servizio essenziale negli Stati Uniti. L’11 giugno 2026 la società di intelligence Dataminr ha emesso un Flash alert sulla rivendicazione del gruppo Handala, riconducibile agli interessi dell’intelligence iraniana, contro California Water Service (Cal Water), tra i maggiori operatori idrici statunitensi, con circa due milioni di utenti serviti in oltre 100 comunità della California; il 16 giugno Industrial Cyber ha ripreso e ampliato il caso. Non si tratta di un incidente isolato: è l’ennesima estensione, verso le infrastrutture critiche degli alleati di Israele, di una campagna che gli analisti collegano direttamente all’escalation militare regionale.

Che cosa è successo

Gli attaccanti hanno diffuso un data dump dimostrativo da 5 GB che, secondo Dataminr, contiene informazioni di fatturazione dei clienti, dati personali e credenziali amministrative associate a una rete interna di correzione GPS distribuita su più distretti. Il distretto di Chico risulta confermato tra gli account compromessi, con tracce di accesso al database di billing (nomi, indirizzi di servizio, numeri di telefono, numeri di conto e storico dei pagamenti).

Il vettore tecnico è l’aspetto più istruttivo per chi gestisce reti convergenti IT/OT. Gli attaccanti hanno ottenuto l’accesso amministrativo a un’istanza di RTKBase, un NTRIP caster open source usato dalle squadre sul campo per ricevere correzioni GPS centimetriche durante la mappatura e la manutenzione delle reti idriche. La rete di correzione si estendeva su sette mountpoint distrettuali. Il sistema, esposto sulla porta HTTP 10000 e operativo da circa 783 ore continuative, è valutato come probabile punto di accesso iniziale o di movimento laterale verso l’ambiente di fatturazione. Le credenziali amministrative e la password di un mountpoint NTRIP sono state pubblicate in chiaro nel materiale dimostrativo: vanno considerate interamente compromesse e ruotate immediatamente, insieme a ogni sistema in cui possano essere state riutilizzate.

Perché è una notizia geopolitica, non solo un data breach

Handala è valutato con alta confidenza come una struttura di facciata affiliata al MOIS, tracciata come Void Manticore (Check Point Research), Storm-0842 (Microsoft) e Banished Kitten (CrowdStrike). Operativo da dicembre 2023, ha intensificato in modo netto le operazioni contro obiettivi statunitensi dopo l’avvio dell’ingaggio militare USA-Iran del 28 febbraio 2026. Il movente è più specifico di una generica ritorsione: Handala ha presentato l’intrusione come rappresaglia per presunti attacchi statunitensi contro le infrastrutture idriche iraniane. È questo schema acqua-per-acqua a spiegare la scelta del bersaglio e a saldarsi alla dottrina dichiarata del gruppo, che colpisce i sistemi life-sustaining per massimizzare l’impatto psicologico e sociale, con uno schema a doppio bersaglio (rete di supporto operativo più database rivolto ai cittadini) che privilegia la visibilità multidominio rispetto alla persistenza silenziosa.

Il dato rilevante per la threat intelligence: a oggi non vi è evidenza di manomissione dei processi di trattamento o di disservizi su sistemi SCADA o di distribuzione. Cal Water ha confermato il 16 giugno di avere aperto un’indagine; la rivendicazione e la pubblicazione del dump risalgono all’11 giugno e coinvolgono i sistemi collegati ai distretti di Bakersfield, Visalia e Chico, mentre il momento effettivo dell’intrusione potrebbe essere anteriore (lo suggeriscono le 783 ore di operatività continuativa di RTKBase). L’utility e le autorità dichiarano comunque che non vi è evidenza di compromissione dell’approvvigionamento idrico né di interruzioni del servizio. Va inoltre detto con chiarezza che nulla, nelle prove pubblicate, sostiene la capacità del gruppo di interrompere l’erogazione idrica: gli esperti ricordano che Handala ha un precedente di sopravvalutazione delle proprie capacità, e il claim “potevamo chiudere l’acqua” va trattato come operazione psicologica più che come dimostrazione tecnica. Resta il fatto che il gruppo dispone di un arsenale distruttivo (i wiper win.handala, Handala Wiper e Hamsa Wiper, oltre a capacità di sovrascrittura del Master Boot Record) e ha già dimostrato la disponibilità a passare dal furto dati all’azione distruttiva all’interno della stessa campagna, come nell’attacco a Stryker del marzo 2026 condotto tramite Microsoft Intune.

A confermare il fine propagandistico è soprattutto il canale di diffusione: Handala ha fornito all’emittente statale iraniana Press TV presunti screenshot di dati di fatturazione e di dashboard interne, presentando l’operazione come un avvertimento a Washington. È questo passaggio a un media di Stato, più del dump in sé, a qualificare l’azione come hack-and-leak e operazione di influenza a fini di pressione politica, non come estorsione né come ransomware. La rivendicazione va quindi letta come evento di data breach e, insieme, come possibile precursore di operazioni più aggressive.

Implicazioni per chi difende

L’episodio espone tre lezioni trasversali. Primo: la superficie d’attacco delle utility include strumenti di supporto trascurati come i caster GNSS, spesso installati su hardware leggero (tipo Raspberry Pi) con interfacce amministrative esposte e autenticazione debole. Secondo: la segmentazione tra reti di posizionamento, ambienti OT e piattaforme di fatturazione è il vero perimetro da verificare, perché è proprio il pivot tra questi domini ad aver consentito il movimento laterale. Terzo: per gli operatori europei vale lo stesso principio di esposizione geopolitica; come ricordato anche in sede NIS2, un conflitto regionale può tradursi rapidamente in pressione sulle infrastrutture essenziali di Paesi terzi legati alla disputa. Il riferimento storico, per il lettore italiano, sono le cyber-operazioni israeliane contro l’Iran.

Dataminr raccomanda un audit completo delle credenziali (non limitato agli account esposti), la verifica che le interfacce RTKBase non siano raggiungibili da Internet, il riesame delle policy firewall tra reti GPS e sistemi clienti, e la notifica a CISA e WaterISAC in caso di indicatori di compromissione. Per Cal Water si aprono inoltre gli obblighi di notifica previsti dal California Civil Code, paragrafo 1798.82, con un rischio accresciuto di spear-phishing ai danni degli utenti i cui dati sono stati esfiltrati.