וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

וואלה דואר
קרא דואר

טכנולוגיה

/

פרטיות ואבטחה

מי את חנדלה? מי היא הקבוצה האיראנית המביכה את ההנהגה הישראלית

ניב ליליאן

עודכן לאחרונה: 28.12.2025 / 20:09

לא רק בנט וברוורמן: קבוצת ההאקרים האיראנית חנדלה, הפעילה מאז ה-7 באוקטובר, רשמה בזמן קצר הישגים כמו גניבת מסמכים ממשטרת ישראל, והפעלת "צבע אדום" בגני ילדים. מה הרקע שלהם וכיצד הם פועלים?

תמונות שהודלפו לכאורה ממכשיר הטלפון הפרטי של מזכיר הממשלה צחי ברוורמן בידי קבוצת ההאקרים האיראנית חנדאלה/תיעוד ברשתות חברתיות לפי סעיף 27 א' לחוק זכויות יוצרים

הבוקר (ראשון) רעשה וגעשה המדינה על רקע הפריצה האפשרית לטלפון של צחי ברוורמן, ראש הלשכה של נתניהו, ששמו נקשר כעת גם בפרשת קטארגייט ובמעורבות להדלפה של מסמכים סודיים. בשבוע שעבר, טענה אותה הקבוצה שפרצה לברוורמן, כי פרצה גם למכשיר הטלפון של ראש הממשלה לשעבר נפתלי בנט ופרסמה חומרים שלכאורה נלקחו ממנו, ואיימה לפרוץ גם לשרי הביטחון לשעבר גלנט וגנץ, ולחברת הכנסת טלי גוטליב, ובתווך גם הספיקה לאיים ולהציע פרס על ראשם של מהנדסים ישראליים. הבחירה באישים האלה אינה מקרית, והקבוצה, המתכנית חנדלה, מתמחה כבר שנים בתקיפת מטרות איכות ישראליות. מי את חנדלה?

אז נתחיל במקור השם. חנדלה היא דמות מצוירת, מ-1969, המייצגת את המאבק הפלסטיני. זוהי דמות של ילד יחף, המצויר לרוב מגבו, שיצר הקריקטוריסט נג'י אל עלי. חנדלה נשאר תמיד בן 10, ומסמל עמידות והתנגדות. המקור לשם של הדמות, הוא בכלל מהשם הערבי של צמח הקולוסינת, צמח מדברי עם פירות מרים, המתאפיין בכך כשגם כשחותכים אותו הוא צומח מחדש, בשל שורשיו העמוקים.

לגבי קבוצת ההאקרים עצמה, הם מזהים את עצמם כהאקרים פרו פלסטיניים, אולם הערכות של מומחי אבטחה שונים מייחסות אותה לאיראן - כקבוצת השפעה ותקיפה שמופעלת על ידי משמרות המהפכה. חשוב לציין שכמו בהרבה מקרים של קבוצות תקיפה בתמיכה מדינתית, הקשר הוא רופף על מנת לשמר את יכולת ההכחשה עבור המדינה המפעילה. זה קרה לא פעם עם רוסיה, אבל גם עם מדינות אחרות, המפעילות או מממנות פעילות של קבוצות האקרים שיעשו עבורן את ה-"עבודה השחורה", בשעה שלמדינת הלאום המפעילה נותרת יכולת הכחשה והתנערות במידת הצורך.

בכיר הנפרצים. ברוורמן ונתניהו/ראובן קסטרו

מצבע אדום ועד ראש הסגל של נתניהו

קבוצת חנדלה היא קבוצה צעירה יחסית, אבל רועשת. היא צצה כ-"מותג תקיפה" אחרי טבח ה-7 באוקטובר, והפעילויות הראשונות המיוחסות לה הן מאוקטובר 2023. בשיח המודיעיני-תקשורתי, הקבוצה מתוארת כגוף Hack & Leak (פרוץ והדלף) איראני, שמכוון בעיקר נגדנו, אבל לעתים הם גם תוקפים מתנגדי משטר איראניים בחו"ל. הקבוצה מקושרת גם לפעילויות ושמות חזית אחרים של קבוצות תקיפת סייבר איראניות כמו Storm 842 או Banished Kitten.

בחברת האבטחה הגדולה צ'ק פוינט, מסבירים בשיחה עם "וואלה" כי "הנדלה היא אחת מקבוצות התקיפה היותר מוכרות של המשטר האיראני, שמסונפת למיניסטריון המודיעין האיראני. היא למעשה משמשת כארגון גג לכל מיני פעילויות של המשטר, אבל בפירוש המוכרת ביותר שבהן.
התעמולה שהיא מבצעת מתפרשת על פני פלטפורמות שונות: טוויטר, אתרים ייעודיים, טלגרם - ועוסקת בהדלפה יזומה של מגוון תקיפות סייבר, החל משיבושים מהותיים לקורבנות (בעיקר דרך דלף מידע) וכלה בפרסומים מביכים יותר או פחות על קורבנות שונים, תמיד בהקשר למלחמת ישראל-איראן, כמו עובדים בתעשיות ביטחוניות, מדעני גרעין, חברי כנסת ואישים פוליטיים או מדיניים. חנדלה עוסקים ביצירת מצג של חדירות למערכות משמעותיות בישראל, מתוך מטרה להפיץ פחד כאן".

הקבוצה בפירוש מחזיקה ברמה מסוימת של אמינות, אומרים בצ'ק פוינט. "היא מנפחת דברים, מפרידה, אך בד"כ לא ממציאה. לכן כשחנדלה אומרת שפרצה לגוף כלשהו - יש משהו לבדוק ולבחון. הקבוצה נקודת קצה וחזית של מאמצים כבירים שאיראן, המשטר ממש, משקיעה במלחמת הסייבר נגד ישראל", מסבירים בצ'ק פוינט.

הפעילות המתועדת הראשונה של הקבוצה היא בדצמבר 2023, אבל חשוב להבין שבגלל שמדובר בקבוצה שמטרתה גם לעשות תעמולה למשטר האיראני, הפערים בין ההתרברבויות שלהם ובין התוצאות בפועל, הם לא פעם - גדולים. יחד עם זאת, הקבוצה כן רשמה "לזכותה" כמה אירועים משמעותיים בישראל מלבד הפריצה למידע של ברוורמן, כמו פריצה למערכות כריזה בגני ילדים והפעלת אזעקות "צבע אדום", אבל בואו נלך באופן מסודר:

sheen-shitof

עוד בוואלה

איך לחשב את יכולת ההחזר שלכם כך שישקף בצורה ריאלית את מצבכם הכלכלי

בשיתוף הפניקס

קשרים הדוקים לאיראן. אילוסטרציה/AP

בדצמבר לפני שנתיים הם הריצו קמפיין חדירה ופישינג שכנראה לא צלח, אולם באפריל 2024, בעיצומה של המלחמה הם היו בין אלה שעמדו מאחורי השליחה ההמונית של הסמסים המפחידים לישראלים. חשוב לזכור, שהתכלית העיקרית שלהם היא להשפיל את ההנהגה הישראלית ולהפחיד. הם לא פחות זרוע תעמולה מאשר הם גם קבוצת תקיפת סייבר.

בספטמבר 2024, הם טוענים, והדבר דווח גם בכלי תקשורת איראניים, כי פרצו לכור הגרעיני בשורק וגנבו משם מידע בהיקף של קרוב ל-200 גיגהבייט. אולם הוועדה לאנרגיה אטומית שלנו הכחישה את האותנטיות של התוכניות שלכאורה נגנבו. בנובמבר, הם חשפו פרטים אישיים (מה שמכונה גם דוקסינג) של מי שהם טענו הוא מדען בשורק, אבל זה התבסס גם על פרסומים ישראליים...

בינואר השנה ביצעה הנדלה את אחת התקיפות המוצלחות מבחינתה - הם פרצו למערכת של ספק של מערכות חירום וכריזה בגני ילדים, והפעילו כריזה של "צבע אדום" בגני ילדים בישראל. הם גם עשו שימוש במערכת על הדרך, לשלוח עוד ערימה של סמסים מאיימים לאזרחים ישראלים.

שבועיים אחר כך, טענה חנדלה כי פרצה למערכות של משטרת ישראל וגנבה משם 350,000 מסמכים. במשטרה הכחישו שמדובר בפריצה ישירה למערכות המידע שלהם, וטענו שמדובר בפריצה לצד שלישי, אולם מאופי המסמכים עולה שחנדלה אכן הצליחו לחדור למערכות של משטרת ישראל. בהדלפה ההיא שוחררו מסמכים רגישים כמו רישיונות נשק, פרופילים רפואיים ותיקים אישיים של שוטרים לרבות פרטים אישיים כמו כתובות וטלפונים.

ביוני הייתה להם הדלפה נוספת לכאורה, עם פרטים של אנשי ביטחון ישראליים ואמריקאיים, ונזכיר גם שלקבוצה היו הצלחות בשעתו גם בפריצות למטרות אזרחיות כמו מכללת רמת גן (אירוע מאומת) ועיריית אלעד (לא אומת).

ביולי הקבוצה מפנה את עינה מאיתנו, ומתמקדת בעיתונאים ומתנגדי משטר איראניים בחו"ל, בעיקר ערוץ הטלוויזיה Iran International, וניהלו נגד אנשיהם קמפיין הפחדה, גם תחת שמות אחרים המיוחסים לקבוצה כמו Storm 842, ובגדול יוחס על ידי קהילת מודיעין הסייבר לגורמי תקיפה איראניים.

באוגוסט הקבוצה מפרסמת ערימה של מיילים של גנץ, אבל כנראה מדובר בחומר ישן ולא בפריצה חדשה, אם כבר מדברים על הפער בין ההצהרות של חנדלה וביצועים בפועל.

ובשבועות האחרונים, כמובן, אנחנו עדים לפעילות מוגברת של הקבוצה - מהפריצה המיוחסת לבנט, דרך איומים על מדענים ומהנדסי כטב"מים ישראליים, כולל חשיפת פרטים והצעת פרס על ראשם של 30 אלף דולר, ועד הפריצה מהבוקר למה שנראה כמו חשבון הטלגרם של צחי ברוורמן, ראש המטה של ראש הממשלה נתניהו, שהיא על פניו, אירוע חמור.

גם הוא בנפגעים. ראש הממשלה לשעבר נפתלי בנט/אתר רשמי, קונטקט

בצד הטכני: כיצד הם פועלים?

כיון שמדובר בקבוצת השפעה, שהפגיעה בצד התדמיתי-תודעתי חשובה לה לא פחות מהפריצה עצמה, הקבוצה הרבה פעמים בשיטות המיוחסות לעולם תחתון, כמו פריצה והדלפה במטרה להביך, ואף סחיטה ואיומים.

בצד הטכני הם משתמשים בשיטות של הזרקת קוד לרכיבים לגיטימיים, השתלטות על הליכי דחיסה/פענוח ויוחס להם בעבר גם שימוש בכלי wiper ייחודי להם, שמטרתו לשבש ולהרוס קבצים במטרה לפגוע בהליכי שחזור והתאוששות מתקיפה (EDR).

בתקיפות האחרונות המיוחסות למידע שנגנב מבנט וברוורמן, באופן ספציפי, מסביר אלכס שטיינברג, מנהל מוצרי ESET בישראל כי "שיטות הפעולה שאנחנו רואים לאחרונה הן כבר לא רק פישינג מתוחכם, אלא גם שימוש גובר ב-Infostealer שהיא נוזקה המאפשרת גזילת מידע ו"חטיפת סשן" (Session Hijacking), כלומר השתלטות על תוכנות פעילות במחשב כמו גירסת שולחן העבודה של טלגרם.

אחרית דבר

חנדלה כנראה לא הולכת להיעלם בקרוב. הבוקר הבטיחה הקבוצה האיראנית לחשוף מחר (שני) 110 עמודים של אנשי הקשר של ברוורמן, כמו גם עדויות לטענתם על השחיתויות שלו ושל נתניהו, במה שהם מכנים "ביביגייט" (כן, הם מאוד מחוברים לאירועים האקטואליים בישראל...). האם זה באמת יקרה? נצטרך לחכות ולראות.

טרם התפרסמו תגובות

top-form-right-icon

בשליחת התגובה אני מסכים לתנאי השימוש

    walla_ssr_page_has_been_loaded_successfully