בשבוע שעבר טענה קבוצת האקרים איראנית בשם "חנדל'ה" כי הצליחה לחדור לטלפון הנייד של ראש הממשלה לשעבר נפתלי בנט, ואף נתנה שם למהלך שלה: "מבצע תמנון: נפתלי בנט נפרץ".
ההאקרים גם פרסמו את רשימת אנשי הקשר שלטענתם היו במכשיר, ביניהם מספרים רגישים של אנשי בטחון ישראלים ומנהיגים בעולם. בלשכת בנט טענו בתגובה בתחילה כי המכשיר אינו בשימוש כיום. מאוחר יותר עדכנו אנשיו של ראש הממשלה לשעבר: "לאחר בדיקות שנערכו, עולה כי מכשיר הטלפון שלו לא נפרץ".
>> למגזין המלא - לחצו כאן
לאחר ההכחשות, ההאקרים פרסמו תכתובות אישיות ומביכות לכאורה מהטלגרם האישי של בנט שהגיעו לידיהם, בהם הוא מתבטא באופן קיצוני על פוליטיקאים שונים. בנוסף פורסמו תמונות של בנט עצמו.
הקבוצה פרסמה 141 עמודים של מספרי טלפון, ובהם כאלו השייכים לטענתם וכלשונם "לבכירים במשטר הישראלי". באותה רשימה הופיעו בין היתר טלפונים של מנהיגים כנשיא צרפת עמנואל מקרון ונשיא איחוד האמירויות מוחמד בן זאיד וכן של רפאל גרוסי, ראש הסוכנות הבינלאומית לאנרגיה אטומית. בנוסף פורסמו אלפי טלפונים של עיתונאים, דוברים ובכירים רבים.
בלשכת בנט טענו בתגובה בתחילה כי המכשיר אינו בשימוש כיום. מאוחר יותר עדכנו אנשיו של ראש הממשלה לשעבר: "לאחר בדיקות שנערכו, עולה כי מכשיר הטלפון שלו לא נפרץ".
אלא שלאחר שפורסמו פרטים מתוך הטלפון של ראש הממשלה לשעבר, בנט עצמו פרסם הודעה בה הודה שדלפו חומרים מהמכשיר הנייד שלו.
לדבריו, "לאחר בדיקה נוספת מסתמן שאכן מכשיר הטלפון שלי עצמו לא נפרץ אך כן הושגה גישה לחשבון הטלגרם בדרכים שונות, תוכן של רשימת הטלפונים וכן תמונות וצ׳טים רבים אמיתיים וגם מזויפים (בין היתר תמונה שלי לצד בן גוריון) הופצו".
יממה לאחר שרשימת אנשי הקשר בטלפון האישי של בנט פורסמה על ידי האקרים איראניים, במערכת הביטחון חוששים שבשל העובדה שבנט כיהן בתפקידים הבכירים של ראש ממשלה ושר ביטחון, ההאקרים הצליחו לאתר מספרי טלפון של בכירים מאוד בגופי הביטחון הישראליים.
כמו כן, גורמי ביטחון הזהירו הלילה כי ייתכן והקבצים שהפיצו ההאקרים עלולים להכיל תוכנות רוגלה שיפגעו במכשירים שבהם ייפתחו.
לא רק בנט
אלא שקבוצת ההאקרים לא עצרה בבנט. למחרת, קבוצת ההאקרים האיראנית חנדל'ה פרסמה "סקר" בחשבון ה-X שבו שאלה את הגולשים פרטים של איזה פוליטיקאי ישראלי שיודלפו.
ההאקרים, שפרצו לחשבון הטלגרם של ראש הממשלה לשעבר נפתלי בנט, נתנו ארבע אופציות: שרי הביטחון לשעבר בני גנץ ויואב גלנט, השר לביטחון לאומי וחבר הקבינט איתמר בן גביר וחברת הכנסת וחברת ועדת חוץ וביטחון טלי גוטליב.
"יום הדין מחכה לרוצחי הילדים", נכתב בציוץ. "לקראת חג החנוכה, נשמח לדעת על מי מבין האישיים הבאים אתם הכי מעוניינים לקבל מידע ונתונים בחודש דצמבר 2025".
בשבת האחרונה קבוצת ההאקרים חנדלה פרסמה הודעה נוספת, שבה טענה כי פרסמה שמות ופרופילים מפורטים של 14 בני אדם, שלדבריה משמשים גורמים מרכזיים בתכנון ובפיתוח מערכות כטב"מים בצה"ל ובתעשיות הביטחוניות.
בהודעה שפרסמו נכתב כי אותם גורמים הם "המוחות מאחורי תוכניות הרחפנים והכטב"מים", וכי לפיתוחים אלה יש תפקיד מרכזי בפעילות הצבאית של ישראל.
בהודעת הקבוצה נטען כי מערכות הכטב"מים משמשות, לטענתה, לפעולות הפוגעות באזרחים וכי מדובר בהפרות של הדין הבינלאומי. הקבוצה מסרה כי פרסום השמות נועד, לשיטתה, לקדם אחריות אישית ולתמוך במאמצים בינלאומיים להשגת צדק. כחלק מהמהלך טענה חנדלה כי הצמידה לכל אחד מהשמות שפורסמו "פרס" כספי בסך 30 אלף דולר.
עד כה, לא פורסמו ברשתות החברתיות מסמכים או ראיות עצמאיות שניתן לאמת, ולא ברור מה מקור המידע שעליו מתבססת הקבוצה. בישראל לא נמסרה תגובה רשמית לפרסום, וגורמי סייבר מציינים כי פרסומים מסוג זה נבחנים בזהירות, בין היתר בשל האפשרות שמדובר במידע חלקי, ישן או כזה שנאסף ממקורות גלויים.
לפני כשלושה שבועות, קבוצת האקרים פרסמה תיעודים של זר פרחים אדומים בתוך רכב. לטענתם הם פרצו לרכב של מדען גרעין ישראלי בכיר והשאירו בתוכו את הפרחים.
הם גם ציינו מיהו הבכיר הישראלי שאליו פרצו, לטענתם, ופרסמו גם רשימת שמות ומספרי טלפון ששייכים - שוב לטענתם - לאנשי יחידה 8200.
לצד התיעודים פרסמו הודעה ובה התייחסו למשקל זר הפרחים. "אתמול קיבלת את זר הפרחים שלנו", הם כתבו בגוף ראשון ל"מדען הבכיר". "זה חפץ לא מזיק לכאורה, אבל האם שמת לב למשקל של זה?
"הרגשת את הנוכחות מאחוריו, את הידיים שנשאו אותו, את הצעדים שדעכו רגע לפני שפתחת את הדלת. ספר לנו איך המכונית שלך. שמעת את הקליק הרך כשנגעת בידית הדלת? האם זה הרגיש לא מוכר?"
הם הוסיפו ואיימו: "אנו הולכים ברחובותיך. אנחנו נושמים את האוויר שלך. אנחנו עומדים במקומות שחשבת שהם בלתי נגישים. אשליית הביטחון של המשטר שלכם כבר קרסה, בשקט, ללא אזעקה, ללא הודעה מוקדמת. תגיד לראש הממשלה שלך את זה: הוא צריך לדאוג פחות לשליטה באנשים ויותר להאכלתם. הרעב הגואה תחת רגליו גובר משעה לשעה".
לפני תקופה לא רחוקה, היה זה איש התקשורת הימני ינון מגל, שחשבון הטלגרם שלו נפרץ ע"י הקבוצה. הפורצים העלו לחשבון הטלגרם של מגל – המונה כ-150,000 עוקבים – חומרים רבים נגד נתניהו, המאשימים אותו בהפקרת החטופים ובפגיעה בביטחון ישראל. בנוסף, פרסמו קריאות לצאת לרחובות כדי להפיל את הממשלה.
בהודעה שפורסמה מטעם הקבוצה, נכתב: "המכשיר האישי של ינון מגל, אחת הדמויות הקולניות והקיצוניות בישראל, הושג על ידינו. זו לא רק פריצה – זה סדק במכונת הנרטיב הציונית".
הם הוסיפו כי "המכשיר שלו נמצא כעת בידינו. זוהי חדירה אל תוך הקבצים האישיים, ערוצי התקשורת, והפנים האמיתיות של מי שחימש את התקשורת נגד המדוכאים".
בסוף דבריהם הם שיגרו איום לפיו "זו רק ההתחלה. מלחמת האמת עברה שלב. Handala עוקבת. Handala מתעדת. Handala חושפת. אתה אולי שולט במסך, אבל לא באמת שולט באמת". לאחר כשבוע וחצי הצליח מגל להשתלט מחדש על הטלגרם שלו.
רשימה ארוכה של תקיפות סייבר
קבוצת "Handala" עצמה מתמקדת לרוב בתקיפות נגד חברות ישראליות, משרדי ממשלה וגופים ציבוריים, באמצעות גנבת מידע, השחתת אתרים ולעיתים גם פעולות השפעה, כשהמקרים הבולטים בהקשר הזה הם הדלפת פרטיהם של ישראלים רבים הנושאים נשק ברישיון בתחילת פברואר 2025, והטענה לפריצה בספטמבר 2024 לשרתים הקשורים למתקן הגרעיני בנחל שורק, במסגרתה טענו האקרים שהצליחו לשים ידם על כ-197 ג'יגה-בייט של נתונים, זאת "כתגובה לחיסולו של חסן נסראללה", לדבריהם.
לעיתים "Handala" גם מנצלת את הרשתות שאליהן חדרה לביצוע פעולות השפעה, כמו שניתן לראות במקרה הפריצה בינואר 2025, לחברת שיווק הציוד האלקטרוני "מאגר-טק" כשהשמיעה דרך מערכות הכריזה של החברה (המותקנות בין היתר בגני ילדים בישראל) קולות אזעקה ומסרים בערבית.
במקרה נוסף, מיוני 2024, שבו הופצו הודעות מאיימות ממערכת המועצה האזורית מעלה יוסף בצפון ישראל, לקחה "Handala" אחריות על שליחת ההודעות וטענה כי התקיפה התבצעה דרך פריצה לחברת My City.
ב-22 באוגוסט 2025 פרסמה הקבוצה כי במסגרת המלחמה בין איראן לישראל היא פרצה לארגונים ולחברות ישראליים, ביניהם: מכון ויצמן, קיבוץ אלמוג, חברת אירודימס, חברת Y.G New Era, חברת התקשורת 099, חברת החדשות TBN, חברת אגורה, חברת מערכות סבן, חברת שירותי הרכב אל-והר, קבוצת Y.H.D, חברת בן חורין ואלכסנדרוביץ' וחברת Job Info. בנוסף לכך פרסמה הקבוצה תקיפות מטעמן של קבוצות נוספות: "חזית התמיכה בסייבר", "תופאן" ו"פיניקס".
מי עומד מאחורי הקבוצה
שמה של הקבוצה נגזר מדמות הקומיקס "حنظلة" בערבית ("Handala") – דמות סמלית וזהותית בהקשר הפלסטיני, סמל משמעותי עבור הנרטיב הפלסטיני. הדמות מסמלת את ה"פליטות" הפלסטינית ואת ה"עוולות" שנגרמו לעם הפלסטיני בידי ישראל. הקבוצה מכנה את עצמה "חזית ההתנגדות העממית של האנשים המחפשים צדק".
הקבוצה פעילה לפחות מדצמבר 2023, כחודשיים לאחר פרוץ המלחמה, כשהיא מבססת נוכחות ברשתות X וטלגרם. אם בתקופה שלפני המלחמה הישירה בין ישראל לאיראן בקיץ 2025 הייתה חלק משמעותי ממארג פרסונות וזהויות איראניות שפעלו ביתר שאת נגד ישראל, הרי שלאחר הפסקת האש התבססה "Handala" כפרסונה האיראנית הבולטת ביותר שתוקפת את ישראל.
על פי נייר עמדה של 'מכון ירושלים לאסטרטגיה וביטחון' , קבוצת "Handala" משויכת ליחידה איראנית המסונפת למשרד המודיעין ומתמחה בתקיפות סייבר הרסניות למטרות השפעה.
קשה להתחקות במדויק אחר פעילותה מאז חשיפתה בשלהי 2023, שכן עמודי ה-X והטלגרם שניהלה נמחקו פעמים מספר והוחלפו באחרים. חברת אבטחת המידע Cyberint הצביעה על פוסט שהעלתה Handala ב-26 בדצמבר 2023 ובו הביעה תמיכה בחמאס וכתבה כי החלה לפעול נגד ישראל לאחר חיסולו של גנרל משמרות המהפכה סיד רצ'א מוסאווי, שחוסל בסוריה בתקיפה המיוחסת לישראל באותו חודש.
אינדיקציות מוקדמות נוספות לשיוכה לאיראן הופיעו באזהרת מערך הסייבר הלאומי של ישראל מה-25 בדצמבר 2023, בנוגע לתקיפת Phishing בידי קבוצת תקיפה איראנית (ללא פירוט נוסף על זהותה או שיוכה הארגוני), המתחזה לחברת F5, שמטרתה להתקין קובץ זדוני בשם "handala.exe". יצוין כי בפרסום נכללו קבצים עם שמות נוספים בעלי אוריינטציה דומה.
נוסף על כך, הפרסונה פרסמה בערוצים שלה מסרים הלועגים למערך הסייבר הישראלי, ואף פרסמה ב-19 בדצמבר 2023 פוסט אזהרה ברשת X בנוגע לכוונותיה לתקוף את ישראל, שכלל את התיוג "F5".
במהלך שנת 2024 התפרסמו דו"חות של מייקרוסופט המשייכים את הקבוצה באופן חד-משמעי לאיראן, ובאופן ספציפי לקבוצת התקיפה המכונה Storm-0842, הקשורה למשרד המודיעין האיראני ואחראית גם לפעילות תחת הזהויות "DarkBit" ו-"Homeland Justice", ששמן נקשר בשנים האחרונות למבצעי תקיפה איראניים למטרות השפעה.
>> למגזין המלא - לחצו כאן
פעילות קבוצת ההאקרים מאז פרוץ מלחמת ישראל-חמאס באוקטובר 2023, ובעיקר לאחר סיום הלחימה הישירה בין ישראל לאיראן ביוני 2025, ממחישה כיצד טהרן עושה שימוש במתקפות סייבר לא רק כאמצעי לוחמה תודעתית ומבצעית, אלא גם כתחליף חלקי לאובדן היכולות הצבאיות שנפגעו במלחמה.
הפעלת "חנדל'ה" מאפשרת לאיראן לשמר מרחב הכחשה, לנהל לוחמת מידע נגד ישראל ונגד האופוזיציה האיראנית, ולגבות מחיר מדוד מהצד הישראלי בסיכון נמוך יחסית.
0 תגובות