Τον Δεκέμβριο του 2025, η συνδεδεμένη με το Ιράν ομάδα πειρατείας Handala ισχυρίστηκε ότι είχε παραβιάσει πλήρως τις κινητές συσκευές δύο επιφανών ισραηλινών πολιτικών προσωπικοτήτων.
Ωστόσο, η λεπτομερής ανάλυση από τους ερευνητές του Kela στον κυβερνοχώρο αποκάλυψε ένα πιο περιορισμένο εύρος — οι παραβιάσεις στόχευαν συγκεκριμένα λογαριασμούς Telegram και όχι την πλήρη πρόσβαση στη συσκευή.
Η ομάδα ισχυρίστηκε ότι παραβίασε το iPhone 13 του πρώην πρωθυπουργού Naftali Bennett κατά τη διάρκεια της επιχείρησης Octopus, κυκλοφόρησε λίστες επαφών, φωτογραφίες, βίντεο και περίπου 1.900 συνομιλίες συνομιλίας.
Λίγο αργότερα, ισχυρίστηκαν παρόμοια πρόσβαση στη συσκευή του Τζάτσι Μπράβερμαν, του αρχηγού του ισραηλινού επιτελείου. Παρά αυτούς τους δραματικούς ισχυρισμούς, η πραγματική παραβίαση αποκάλυψε σημαντικά κενά στην ασφάλεια του λογαριασμού και όχι σε συμβιβασμό σε επίπεδο συσκευής.
Οι αναλυτές της Kela διεξήγαγαν ιατροδικαστική εξέταση των υλικών που διέρρευσαν και εντόπισαν ότι οι περισσότερες από τις εκτεθειμένες συνομιλίες ήταν κενές κάρτες επαφής που δημιουργήθηκαν αυτόματα από το Telegram κατά τη διάρκεια του συγχρονισμού.
Μόνο περίπου 40 συνομιλίες περιείχαν πραγματικά μηνύματα, με ακόμη λιγότερες να δείχνουν ουσιαστικές ανταλλαγές. Όλες οι εκτεθειμένες επαφές συνδέονται με ενεργούς λογαριασμούς Telegram, επιβεβαιώνοντας ότι τα δεδομένα προέρχονται από το ίδιο το Telegram.
.webp.png "Οι χάκερ της Handala στόχευσαν Ισραηλινούς αξιωματούχους διακυβεύοντας λογαριασμούς Telegram")
Kela ερευνητές και αναλυτές διάσημος ότι το περιστατικό ανέδειξε σοβαρές ευπάθειες στη διαχείριση περιόδων σύνδεσης και στις πρακτικές ασφάλειας λογαριασμού, ακόμη και σε κρυπτογραφημένες πλατφόρμες ανταλλαγής μηνυμάτων.
Η κατανόηση του μηχανισμού μόλυνσης και ανάληψης λογαριασμού αποκαλύπτει πώς η Handala παραβίασε αυτούς τους λογαριασμούς χωρίς πλήρη πρόσβαση στη συσκευή.
Η ομάδα πιθανότατα χρησιμοποιούσε πολλαπλούς φορείς επίθεσης, συμπεριλαμβανομένης της ανταλλαγής SIM, όπου οι εισβολείς αναλαμβάνουν τον έλεγχο του αριθμού τηλεφώνου του θύματος για να λάβουν κωδικούς επαλήθευσης σύνδεσης.
Θα μπορούσαν επίσης να εκμεταλλευτούν τις αδυναμίες του πρωτοκόλλου SS7 στην τηλεπικοινωνιακή υποδομή για να υποκλέψουν μηνύματα SMS σε επίπεδο δικτύου. Επιπλέον, η Handala μπορεί να έχει χρησιμοποιήσει εξελιγμένες καμπάνιες ηλεκτρονικού “ψαρέματος” που καταγράφουν κωδικούς πρόσβασης μίας χρήσης μέσω ψεύτικων σελίδων σύνδεσης ή κακόβουλων κωδικών QR.
Πειρατεία συνεδρίας
Η πειρατεία συνεδρίας αντιπροσώπευε ένα άλλο πιθανό διάνυσμα, όπου οι εισβολείς αντέγραψαν τον φάκελο tdata από το Telegram Desktop—το αρχείο ελέγχου ταυτότητας που περιέχει ενεργά δεδομένα περιόδου λειτουργίας που παρέχει πλήρη πρόσβαση στον λογαριασμό όταν αποκαθίσταται αλλού, παρακάμπτοντας εξ ολοκλήρου τον έλεγχο ταυτότητας OTP και πολλαπλών παραγόντων.
Η επιχειρησιακή προσέγγιση της ομάδας περιελάμβανε επίσης τη συλλογή κωδικών OTP μέσω πολλαπλών τεχνικών: ενεργοποίηση επαλήθευσης μέσω φωνητικών κλήσεων, εξαγωγή κωδικών από τον τηλεφωνητή με εκμετάλλευση αμετάβλητων προεπιλεγμένων PIN ή πλαστοπροσωπία της υποστήριξης του Telegram στο κοινωνικό προσωπικό για την αποκάλυψη διαπιστευτηρίων.
.webp.png "Οι χάκερ της Handala στόχευσαν Ισραηλινούς αξιωματούχους διακυβεύοντας λογαριασμούς Telegram")
Οι προεπιλεγμένες ρυθμίσεις του Telegram ενίσχυσαν σημαντικά αυτούς τους κινδύνους. Η δυνατότητα κωδικού πρόσβασης στο cloud παραμένει προαιρετική και απενεργοποιημένη από προεπιλογή, πράγμα που σημαίνει ότι η κατοχή ενός OTP από μόνη της παρέχει πλήρη πρόσβαση στον λογαριασμό.
Οι τυπικές συνομιλίες δεν διαθέτουν κρυπτογράφηση από άκρο σε άκρο, αποθηκεύοντας δεδομένα σε διακομιστές Telegram ως συνομιλίες στο cloud και όχι τοπικά, επεκτείνοντας σημαντικά την επιφάνεια επίθεσης.
.webp.png "Οι χάκερ της Handala στόχευσαν Ισραηλινούς αξιωματούχους διακυβεύοντας λογαριασμούς Telegram")
Η Handala εμφανίστηκε για πρώτη φορά τον Δεκέμβριο του 2023, καθιερώνοντας παρουσία σε πολλά φόρουμ για το έγκλημα στον κυβερνοχώρο και λειτουργώντας διάφορα κανάλια Telegram και λογαριασμούς μέσων κοινωνικής δικτύωσης.
Οι δραστηριότητές τους στόχευαν κυρίως ισραηλινές εταιρείες και οργανισμούς, επιδεικνύοντας σταθερά υποστήριξη προς το Ιράν και τους Παλαιστινιακούς σκοπούς καθ’ όλη τη διάρκεια των εκστρατειών τους, υποδεικνύοντας κίνητρα που χρηματοδοτούνται από το κράτος ή συμπαθούν με το κράτος.
