Das israelische Cybersecurity-Unternehmen Gambit Security aus Tel Aviv veröffentlichte am 26. Mai einen Bericht, in dem der im März dieses Jahres stattgefundene Angriff auf Teile des Netzwerks der Los Angeles County Metropolitan Transportation Authority (LACMTA) den iranischen Staatshackern zugeschrieben wird. Laut dem Bericht entwendeten die Angreifer mindestens 700 GB an E-Mails, Backups sowie internen Dokumenten aus den Systemen der LACMTA; diese Daten wurden anschließend versehentlich auf einem öffentlich zugänglichen Server preisgegeben, was Gambit Security zur Untersuchung veranlasste. Eyal Sela, Direktor für Bedrohungsaufklärung bei Gambit Security, erklärte, die Beteiligung des Iran sei „bereits zuvor als Arbeitshypothese bestanden“ – die aktuelle Studie liefere nun forensische Belege dafür. Das von ehemaligen Soldaten der israelischen Geheimdiensteinheit 8200 gegründete Unternehmen informierte die zuständigen Behörden über seine Erkenntnisse.
Der Einbruch wurde Anfang März vom Sicherheitsteam der LACMTA entdeckt. Etwa zwei Wochen später behauptete eine Gruppe namens „Ababil of Minab“, für den Angriff verantwortlich zu sein, und veröffentlichte ein Video, das angeblich den Vorgang der Systemunterbrechung zeigt. Gambit Security weist darauf hin, dass es sich dabei nicht um eine unabhängige Hacker-Gruppe handelt, sondern um eine fingierte „Hacker-Rechtsorganisation“, die vom iranischen Ministerium für Nachrichtendienste und Sicherheit (MOIS) ins Leben gerufen wurde, um staatliche Aktivitäten zu verschleiern. Ziel dieser Angriffe waren auch Institutionen in Israel, Saudi-Arabien und der Türkei. Die LACMTA versicherte, dass Zug- und Busverbindungen während des Vorfalls weiterhin verkehrten; allerdings fielen digitale Ankunftsanzeigen sowie das System zur Aufladung von Verkehrskarten vorübergehend aus – deren Wiederherstellung dauerte mehrere Wochen. Das FBI bestätigte, Kenntnis vom Vorfall zu haben und „mit allen Parteien koordiniert zu reagieren“, lehnte weitere Stellungnahmen jedoch ab. Weder das US-amerikanische Amt für Cybersicherheit und Infrastrukturschutz (CISA), die iranische Vertretung bei den Vereinten Nationen noch die israelische Nationale Cyberbehörde äußerten sich dazu.