Связанная с Ираном группировка Handala заявила о взломе California Water Service, одного из крупнейших частных водоканалов США. По данным SecurityWeek, злоумышленники опубликовали около 5 ГБ данных, которые, как утверждается, были похищены у Cal Water. Публикация была обновлена 16 июня после дополнительного анализа инцидента.

Cal Water обслуживает примерно два миллиона клиентов в ста сообществах Калифорнии. Handala заявила, что атака стала ответом на недавние действия США в отношении Ирана, и утверждала, что имела возможность нарушить доступ к воде, но не стала этого делать. Уровень реального доступа группировки пока не подтверждён, поэтому такие заявления нужно воспринимать осторожно.

Компания Dataminr, на которую ссылается SecurityWeek, оценивает, что злоумышленники, вероятно, получили доступ к RTKBase-инстансу Cal Water — платформе GNSS base station — а затем переместились к биллинговой системе. Подтверждённой жертвой названа Chico District. По данным исследователей, RTKBase-инстанс работал около 783 часов на момент доступа, а GPS-коррекционные данные передавались через семь district mountpoints.

Утечка, по оценке Dataminr, похожа на массовый экспорт базы данных и включает персональные данные клиентов: имена, адреса, номера телефонов, номера аккаунтов и историю платежей. Кроме того, в опубликованных материалах фигурируют административные учётные данные для RTKBase и пароль источника NTRIP на уровне mountpoint. Злоумышленники также перечисляли IP-адреса, связанные с NTRIP-сетью Cal Water в семи округах.

Пока нет подтверждения, что была нарушена работа OT/ICS-систем или что атакующие реально могли вмешаться в водоснабжение. Но риск нельзя игнорировать: Handala ранее демонстрировала готовность к разрушительным операциям, а в её инструментарии, по данным публикации, присутствуют кастомные вайперы, включая win.handala, Handala Wiper и Hamsa Wiper, а также возможности перезаписи MBR.

Для инфраструктурных операторов эта история важна не только из-за водного сектора. Она показывает, как на первый взгляд вспомогательные платформы — геодезические, GNSS, биллинговые или сервисные — могут стать точкой входа или бокового перемещения к более чувствительным системам. Защита должна включать сегментацию IT и OT, отдельные секреты для инженерных платформ, мониторинг выгрузок баз данных, ротацию паролей после инцидента и проверку того, не переиспользуются ли административные учётные данные между системами.

Источник: SecurityWeek, 12 июня 2026; обновлено 16 июня 2026