كشفت تقارير أمنية حديثة عن قيام جهة فاعلة إيرانية تُعرف باسم “Handala Hack” بتنفيذ سلسلة من الهجمات السيبرانية التدميرية التي استهدفت منظمات في إسرائيل وألبانيا والولايات المتحدة، مستغلةً تقنيات الوصول عن بعد، والأنفاق الشبكية، وأدوات محو البيانات المتعددة والمتزامنة. يبرز اسم Handala Hack كتهديد ناشئ يهدف إلى إحداث أقصى قدر من الضرر.
تعمل هذه الجهة ضمن الهوية الأوسع لـ “Void Manticore”، والتي تُعرف أيضاً بأسماء مثل “Red Sandstorm” و “Banished Kitten”، وترتبط بشكل مباشر بوزارة الاستخبارات والأمن الإيرانية (MOIS). تكمن خطورة هذه الهجمات في أن هدفها الأساسي ليس التجسس، بل تدمير البيانات بشكل يتعذر معه استععادتها.
بدأت مجموعة Handala Hack نشاطها في أواخر عام 2023، مستوحية اسمها من شخصية “حنظلة” الكرتونية الفلسطينية الشهيرة. وقد حافظت المجموعة على ثلاث واجهات علنية: Handala Hack، و”Karma”، و”Homeland Justice”. وتُستخدم “Homeland Justice” منذ منتصف عام 2022 لاستهداف وكالات حكومية ومزودي اتصالات وقطاعات أخرى في ألبانيا، بينما يبدو أن واجهة “Karma” تم التخلي عنها تدريجياً لصالح Handala Hack.
في العمليات الأخيرة، وسعت المجموعة نطاق عملياتها لتشمل الولايات المتحدة، مستهدفةً منظمات بارزة مثل شركة التكنولوجيا الطبية “Stryker”. وقد رصد باحثون في “Check Point” التطور المستمر لأنماط هجمات المجموعة عبر اختراقات متعددة، ولاحظوا أن الأساليب الأساسية ظلت ثابتة منذ بداية عام 2024، إلا أن تقنيات جديدة بدأت في الظهور.
تطور تقنيات Handala Hack التدميرية
من أبرز التقنيات الجديدة التي تم رصدها استخدام أداة “NetBird”، وهي أداة شبكات مشروعة من نظير إلى نظير، ولكنها تُستخدم هنا لحفر أنفاق لحركة البيانات داخل شبكات الضحايا. كما تم اكتشاف استخدام نص برمجي مكتوب بلغة PowerShell مدعوم بالذكاء الاصطناعي، كجزء من مجموعة أدوات محو البيانات.
وأشار الباحثون أيضاً إلى انخفاض واضح في الانضباط التشغيلي للمجموعة، حيث تم تتبع نشاطها مباشرة من عناوين IP إيرانية، بدلاً من الاعتماد على خدمات VPN التجارية التي كانت تستخدمها سابقاً.
تبدأ سلسلة الهجوم عادةً باختراق بيانات اعتماد VPN، إما عبر محاولات القوة الغاشمة أو خروقات سلسلة التوريد ضد مزودي الخدمات التقنية. بمجرد الدخول، يعتمد المهاجمون على بروتوكول سطح المكتب البعيد (RDP) للتنقل يدوياً بين الأنظمة قبل تفعيل عملية التدمير.
وقد لوحظ تشغيل ما لا يقل عن خمس آلات يتحكم بها المهاجمون بشكل متزامن داخل بيئة الضحية الواحدة، مما يعكس نية المجموعة إحداث أقصى ضرر وبأسرع وقت ممكن.
عمليات المسح المتوازية: نهج متعدد الطبقات للتدمير
ما يميز Handala Hack هو سعيها لتدمير البيانات من عدة زوايا في وقت واحد، مما يمنح المنظمات فرصة ضئيلة جداً للاستعادة. تحقق المجموعة ذلك عن طريق نشر أدوات مسح متعددة بشكل متزامن عبر سياسات المجموعة (Group Policy)، مما يضمن انتشاراً سريعاً عبر الشبكة.
في مرحلة التدمير، تقوم Handala Hack بتشغيل أربع تقنيات مسح مختلفة في آن واحد. الأولى هي أداة المسح المخصصة “Handala Wiper”، والتي يتم توزيعها عبر نصوص تسجيل الدخول بسياسات المجموعة، عبر ملف دفعي يسمى handala.bat. تقوم هذه الأداة بإعادة كتابة محتويات الملفات وإتلاف قطاع الإقلاع الرئيسي (MBR) لإحداث ضرر عميق على مستوى منخفض.
ولصعوبة اكتشافها من قبل أدوات الأمان، فإن البرنامج التنفيذي لهذه الأداة يعمل عن بعد من وحدة التحكم بالمجال (Domain Controller) ولا يتم كتابته أبداً على القرص في الأجهزة المستهدفة.
بالتوازي مع ذلك، يستخدم المهاجمون أداة مسح PowerShell مدعومة بالذكاء الاصطناعي، والتي تزيل جميع الملفات من مجلدات المستخدمين، ثم تغمر كل محرك أقراص منطقي بصورة دعائية تحمل اسم handala.gif.
بالإضافة إلى ذلك، تقوم المجموعة بتحميل “VeraCrypt” مباشرة عبر متصفح الضحية، وهي أداة تشفير مشروعة، لقفل محركات الأقراص ومنع استعادة البيانات. وكخطوة أخيرة، يقوم المشغلون بحذف الأجهزة الافتراضية والملفات الفردية يدوياً عبر RDP، وهو سلوك وثقته المجموعة بنفسها في مقاطع فيديو مسربة.
يُنصح المدافعون بتطبيق المصادقة متعددة العوامل على جميع حسابات الوصول عن بعد والحسابات ذات الامتيازات دون استثناء. يجب على فرق الأمن مراقبة عمليات تسجيل الدخول من دول غير مألوفة، وفي أوقات غير اعتيادية، وتسجيلات أجهزة جديدة، ونقل بيانات VPN غير طبيعي.
يجب حظر الاتصالات من عناوين IP إيرانية ونطاقات IP المعروفة لخدمة “Starlink” على مستوى المحيط. ويجب تعطيل الوصول عبر RDP حيثما لا تكون هناك حاجة إليه، خاصة على الأجهزة التي تحمل تنسيقات تسمية Windows الافتراضية مثل DESKTOP-XXXXXX أو WIN-XXXXXX.
كما يجب على الفرق مراقبة أدوات مثل “NetBird” وأدوات الأنفاق الأخرى عن كثب، حيث أن وجودها قد يشير إلى نشاط شبكي داخلي غير مصرح به.