مجموعة “Handala Hackers” تستهدف مسؤولين إسرائيليين عبر اختراق حسابات تلغرام
أعلنت مجموعة “Handala Hackers”، المرتبطة بإيران، في ديسمبر 2025 عن اختراق كامل لأجهزة هاتف محمولة تخص شخصيتين سياسيتين بارزتين في إسرائيل. ومع ذلك، كشفت التحليلات المفصلة التي أجراها باحثو Kela للاستخبارات السيبرانية عن نطاق محدود لهذا الاختراق، حيث استهدف حسابات تلغرام تحديدًا، وليس الوصول الكامل للأجهزة.
وذكرت المجموعة أنها اخترقت هاتف آيفون 13 لرئيس الوزراء السابق نفتالي بينت خلال عملية “Octopus”، ونشرت قوائم اتصالات وصور ومقاطع فيديو حوالي 1900 محادثة. وبعد فترة وجيزة، ادعت تعرض جهاز تساهي برافرمان، رئيس الأركان الإسرائيلي، لاختراق مماثل. على الرغم من هذه الادعاءات الكبيرة، كشف الاختراق الفعلي عن ثغرات أمنية حرجة في الحسابات، بدلاً من اختراق مستوى الجهاز.
تحليل اختراق حسابات تلغرام
أجرى باحثو Kela فحصًا جنائيًا للمواد المسربة، وحددوا أن معظم المحادثات المكشوفة كانت عبارة عن بطاقات اتصال فارغة تم إنشاؤها تلقائيًا بواسطة تلغرام أثناء المزامنة. وفي حوالي 40 محادثة فقط احتوت على رسائل فعلية، وأظهر عدد أقل منها تبادلات كبيرة. وتم ربط جميع جهات الاتصال المكشوفة بحسابات تلغرام نشطة، مما يؤكد أن البيانات مصدرها تلغرام نفسه.
التفاصيل الفنية للاختراق
لاحظ باحثو Kela أن الحادث أبرز نقاط ضعف خطيرة في إدارة الجلسات وممارسات أمن الحسابات، حتى على منصات المراسلة المشفرة. ويوضح فهم آلية الإصابة والاستيلاء على الحساب كيف تمكنت مجموعة Handala من اختراق هذه الحسابات دون الوصول الكامل للأجهزة.
من المحتمل أن تكون المجموعة قد استخدمت نواقل هجوم متعددة، بما في ذلك تبديل بطاقات SIM، حيث يستولي المهاجمون على رقم هاتف الضحية لتلقي رموز التحقق من تسجيل الدخول. كما يمكنهم استغلال نقاط الضعف في بروتوكول SS7 في البنية التحتية للاتصالات لاعتراض رسائل SMS على مستوى الشبكة. بالإضافة إلى ذلك، قد تكون Handala قد استخدمت حملات تصيد احتيالي متطورة نجحت في الحصول على كلمات المرور ذات الاستخدام الواحد عبر صفحات تسجيل دخول وهمية أو رموز QR ضارة.
اختطاف الجلسات كأداة رئيسية
مثّل اختطاف الجلسات ناقلًا هجوميًا محتملًا آخر، حيث قام المهاجمون بنسخ مجلد “tdata” من Telegram Desktop – وهو ملف المصادقة الذي يحتوي على بيانات الجلسة النشطة التي تمنح الوصول الكامل للحساب عند استعادته في مكان آخر، متجاوزة بذلك رموز OTP والمصادقة متعددة العوامل بالكامل.
شمل النهج التشغيلي للمجموعة أيضًا جمع رموز OTP عبر تقنيات متعددة: تشغيل التحقق عبر المكالمات الصوتية، استخراج الرموز من البريد الصوتي عن طريق استغلال رموز PIN الافتراضية التي لم يتم تغييرها، أو انتحال صفة دعم تلغرام لخداع الموظفين اجتماعيًا للكشف عن بيانات الاعتماد.
إعدادات تلغرام تزيد المخاطر
عززت إعدادات تلغرام الافتراضية هذه المخاطر بشكل كبير. لا تزال ميزة “كلمة مرور السحابة” اختيارية وتعطيلها افتراضيًا، مما يعني أن امتلاك OTP وحده يوفر الوصول الكامل للحساب. تفتقر الدردشات القياسية إلى التشفير من طرف إلى طرف، وتقوم بتخزين البيانات على خوادم تلغرام كدردشات سحابية بدلاً من تخزينها محليًا، مما يوسع سطح الهجوم بشكل كبير.
ظهرت مجموعة Handala لأول مرة في ديسمبر 2023، وأسست وجودها عبر منتديات متعددة لمجرمي الإنترنت، وأدارت قنوات تلغرام مختلفة وحسابات على وسائل التواصل الاجتماعي. استهدفت عملياتها بشكل أساسي الشركات والمؤسسات الإسرائيلية، مع إظهار دعم ثابت للقضايا الإيرانية والفلسطينية طوال حملاتها، مما يشير إلى دوافع ترعاها الدولة أو متعاطفة معها.