"לא מדובר בקבוצת האקרים קלאסית בעלת יכולות מודיעיניות עמוקות, אלא בגורם 'רועש', שמטרתו המרכזית היא השפעה פסיכולוגית ותודעתית", מאפיין רפאל פרנקו, לשעבר סגן ראש מערך הסייבר הלאומי וכיום מנכ"ל חברת CODE BLUE, את קבוצת ההאקרים האיראנית "חנדלה" (Handala).
הקבוצה, שפרסמה הבוקר (ראשון) חומרים מהטלפון של צחי ברוורמן, מקורבו של ראש הממשלה בנימין נתניהו, הפכה בחודשים האחרונים לאחת השחקניות הבולטות ביותר בתקיפות הסייבר נגד ישראל.
לדברי פרנקו, "רוב יעודה הוא פגיעה באמון הציבור, יצירת תחושת חדירות, והגברת תהודה תקשורתית, לעיתים תוך ניפוח הישגים". עם זאת, הוא מדגיש כי "פעילותה משתלבת לעיתים במערכה רחבה יותר, הכוללת חפיפה רעיונית ולעיתים גם תשתיתית עם גורמים מדינתיים או פרוקסים אזוריים".
על פי דוחות של גופי מודיעין וחברות סייבר, הקבוצה משויכת ליחידה איראנית המסונפת למשרד המודיעין, ומתמחה בתקיפות סייבר למטרות השפעה. שמה נגזר מדמות הקומיקס בעלת אותו שם שהפכה לסמל פלשתיני המייצג את ה"פליטות" הפלשתינית. הקבוצה מכנה את עצמה "חזית ההתנגדות העממית של האנשים המחפשים צדק", ופעילה לפחות מדצמבר 2023, כחודשיים לאחר פרוץ מלחמת "חרבות ברזל".
מבנט ועד מדעני גרעין
רשימת המטרות של חנדלה כוללת פוליטיקאים בכירים, גורמי ביטחון ואזרחים ישראליים. לפני כעשרה ימים טענה הקבוצה כי הצליחה לחדור לחשבון הטלגרם של ראש הממשלה לשעבר נפתלי בנט, ופרסמה תכתובות אישיות, רשימת אנשי קשר ותמונות. בנט הודה בסופו של דבר כי "הושגה גישה לחשבון הטלגרם", אך הדגיש כי מכשיר הטלפון עצמו לא נפרץ.
לפני כשלושה שבועות פרסמה הקבוצה תיעודים של זר פרחים אדומים שהושאר, לטענתה, ברכבו של מדען גרעין ישראלי בכיר. "אתמול קיבלת את זר הפרחים שלנו. זה חפץ לא מזיק לכאורה, אבל האם שמת לב למשקל שלו?" נכתב בהודעת האיום. לצד התיעוד פורסמה רשימת שמות ומספרי טלפון ששייכים, לטענת ההאקרים, לאנשי יחידה 8200.
בנוסף, פרסמה חנדלה שמות ופרופילים מפורטים של 14 בני אדם שלדבריה משמשים גורמים מרכזיים בתכנון ופיתוח מערכות כטב"מים בצה"ל ובתעשיות הביטחוניות, והצמידה לכל אחד מהם "פרס" כספי בסך 30 אלף דולר.
פעילות הקבוצה מתמקדת בתקיפות נגד חברות ישראליות, משרדי ממשלה וגופים ציבוריים. בין המקרים הבולטים: דלפת פרטיהם של ישראלים רבים הנושאים נשק ברישיון בתחילת פברואר 2025, והטענה לפריצה בספטמבר 2024 לשרתים הקשורים למתקן הגרעיני בנחל שורק, במסגרתה טענו ההאקרים שהצליחו לשים יד על כ-197 ג'יגה-בייט של נתונים.
שיוך איראני ברור
על פי נייר עמדה של מכון ירושלים לאסטרטגיה וביטחון, קבוצת חנדלה משויכת ליחידה איראנית המסונפת למשרד המודיעין. חברת אבטחת המידע Cyberint הצביעה על פוסט מדצמבר 2023 בו הביעה חנדלה תמיכה בחמאס וכתבה כי החלה לפעול נגד ישראל לאחר חיסולו של מפקד משמרות המהפכה מוסאווי.
במהלך 2024 פרסמה מיקרוסופט דו"חות המשייכים את הקבוצה באופן חד-משמעי לקבוצת התקיפה האיראנית Storm-0842, הקשורה למשרד המודיעין האיראני ואחראית גם לפעילות תחת הזהויות "DarkBit" ו-"Homeland Justice".
"ניצול של חולשות אנושיות"
"עיקר פעולתה נשען על פריצות לא מאובטחות, דליפות מידע והפצה מכוונת של חומרים ברשתות החברתיות", מסביר פרנקו את אופן הפעולה של הקבוצה. לדבריו, חנדלה מאופיינת ברמת תחכום טכנולוגית נמוכה עד בינונית, אך בפעילות אינטנסיבית ובמיקוד גבוה ביצירת אפקט ציבורי ותקשורתי.
פרנקו מדגיש: "האיום אינו נמדד רק בנזק הטכנולוגי הישיר, אלא ביכולת לנצל חולשות אנושיות וארגוניות, ולהפוך אירועי סייבר נקודתיים לכלי במלחמת תודעה מתמשכת נגד ישראל".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו