בפוקוס: קבוצת התקיפה האיראנית בסייבר – Handala ופעילותה נגד ישראל במלחמת חרבות ברזל

כתבתי בעבר פוסט  המרכז את קבוצות התקיפה הבולטות הפועלות כנגד ישראל במרחב הסייבר אך בפוסט זה אני עושה זום-אין לפעילות של קבוצת Handala בעקבות לא מעט פניות בנושא.

1. הקבוצה החלה את דרכה תחת השם Handala בדצמבר 2023.

2. בהתחלה לא היה ברור לגמרי מה השייכות של הקבוצה אך עם הזמן התבהרה העובדה כי הקבוצה פועלת תחת המשטר האיראני, או ליתר דיוק תחת המשרד למודיעין ולביטחון לאומי (MOIS).

Le ministère iranien des Renseignements espionne citoyens et entreprises

 

3. אמנם השם Handala הוא השם העדכני אך הקבוצה פעלה תחת שמות שונים במהלך השנים האחרונות. ממחקרים שונים והצלבת נתונים עולה כי קבוצת Handala היא למעשה אותה קבוצה שפעלה תחת השם Karma ותחת השם Homeland Justice. בשמותיה הנוספים, המיוצגים על ידי גופי מחקר שונים, הקבוצה ידועה גם בשמות Void Manticore, DUNE, ו-Storm-0842.

4. אם נלך קצת יותר אחורה קבוצת Handala משויכת לקבוצת התקיפה האיראנית הידועה בשם Banished Kitten. קבוצה הפעילה מאז שנת 2008 כשהיא תוקפת מלבד ישראל גם מדינות נוספות.

5. את הפעילות תחת השם Handala הקבוצה מנהלת בטלגרם, בXוויטר, ובפורומים שונים. תקשורת נוספת מנהלת הקבוצה באמצעות חשבון בפלטפורמת הצ׳טים Tox, שם היא עונה לשאלות מדי פעם.

6. ווקטור התקיפה המרכזי של הקבוצה הוא דוא״ל פישינג – הקבוצה משקיעה באימיילים המנוסחים יחסית היטב תוך שהיא מתחזה לגופים שונים כגון F5, מערך הסייבר הלאומי, Crowdstrike ועוד.
במקרים מסוימים הקבוצה עשתה שימוש בניצול חולשות ידועות כדי לחדור לארגונים ולהשחית מידע.

7. לאחר שהשיגה גישה לרשת הארגונית הקבוצה משחיתה וגונבת מידע. את המידע שגנבה היא מפרסמת מאוחר יותר בפלטפורמות השונות תוך השתלחות לעיתים בדמויות מפתח בחברה אליה פרצה.
בחלק מהמתקפות הקבוצה עשתה שימוש בתשתיות אליה פרצה על מנת לשלוח הודעות סמס לאזרחים.

8. מרבית המתקפות שפרסמה הקבוצה אכן התרחשו בפועל אך הקבוצה נוטה להפריז בדיווחים השונים מבלי לספק הוכחות לחלק מהטענות.

9. בתקופת מלחמת חרבות ברזל טענה הקבוצה כי היא פגעה במספר חברות וגופים בישראל.
להלן רשימה של כל הגופים שפירסמה הקבוצה בהתאם לחודש הרלוונטי:

פברואר 2024

– נמל אשדוד
– חברת Homemedics
– החברה העירונית ראש העין
– השחתה של מספר אתרי אינטרנט בישראל

מרץ 2024

– חברת ראדא
– חברת CDNwiz
– חברת הפודטק Aleph Farms
– חברת Rotec Water
– חברת Viber (תוך שהיא מציינת את הקשר לישראל)
– חברת Kogol

אפריל 2024

– חברת ArrowNet
– חברת אליטק הנדסה
– חברת Standard textile
– מכללת מסד
– מכללת סמארט קולג׳
– חברת 99 דיגיטל
– פריצה נוספת לחברה Rada
– חברת Kashin

מאי 2024

– חברת היי-גרופ
– חברת עמיגור נכסים
– בית מרקחת הרמוני פארם
– המכללה האקדמית רמת גן
– חברת סלופארק (Cello)
– השחתה של אתרי אינטרנט שונים בישראל

יוני 2024

– חברת Mycity
– חברת elfi-tech
– חברת SolidCAM
– קיבוץ מעגן מיכאל
– חברת Zerto

יולי 2024

– רשת החינוך העצמאי לציבור החרדי (בפועל התברר כי מדובר בפריצה למצלמות של בית כנסת)
– חברת סונול
– חברת Innovalve
– חברת BLEnergy

אוגוסט 2024

– חברת EPS Tech
– חברת Appletec

10. בעקבות הפעילות של הקבוצה מנסים גופים שונים לשבש את הפעילות הציבורית של הקבוצה בפלטפורמות שונות.
בחודשיים האחרונים הושבתו מספר ערוצי טלגרם וחשבונות Xוויטר בהן הקבוצה עשתה שימוש.
הקבוצה פתחה חשבונות חדשים דרכן היא ממשיכה להפיץ את פעילותה.

Iranian Cyber Group Handala Claims Breach of Israeli Radars

קרדיט: ערוץ הטלגרם חדשות סייבר – ארז דסה      קרדיט לתמונות: רשתות חברתיות