Iraanse hackers vallen Israëlische politici aan

De Handala-groep heeft in het kader van een bredere beïnvloedingscampagne tegen Israël toegang gekregen tot de telefoons van een medewerker van Netanyahu en voormalig premier Bennett.

Door Roy Bet Levi | | Onderwerpen: Iran, cyber security
Beeld van een hacker. Foto: Sliman Khader/FLASH90

“We hebben hier niet te maken met een klassieke hackersgroep met uitgesproken inlichtingencapaciteiten, maar eerder met een ‘luidruchtige’ speler wiens belangrijkste doel het is om psychologische en cognitieve invloed uit te oefenen”, zegt Refael Franco, voormalig adjunct-hoofd van het Israëlische National Cyber Directorate en momenteel directeur van Code Blue, over de Iraanse hackersgroep Handala.

De stafchef van de Israëlische premier Benjamin Netanyahu, Tzachi Braverman, in de Knesset in Jeruzalem, 13 maart 2024. Foto: Yonatan Sindel/Flash90.

De groep, die zondagmorgen materiaal publiceerde van de telefoon van Tzachi Braverman, de stafchef van premier Benjamin Netanyahu, is de afgelopen maanden uitgegroeid tot een van de meest prominente spelers in cyberaanvallen tegen Israël.

Volgens Franco bestaat “het grootste deel van hun missie uit het ondermijnen van het vertrouwen van het publiek, het creëren van een gevoel van penetratie en het versterken van de weerklank in de media, soms door hun successen te overdrijven”. Hij benadrukt echter dat “hun activiteiten soms deel uitmaken van een bredere campagne, met ideologische en soms infrastructurele overlappingen met staatsactoren of regionale vertegenwoordigers”.

Volgens rapporten van inlichtingendiensten en cyberbeveiligingsbedrijven is de groep gelieerd aan een Iraanse eenheid die onder het ministerie van Inlichtingen valt en gespecialiseerd is in cyberaanvallen om invloed uit te oefenen. Hun naam is afgeleid van het gelijknamige stripfiguur, dat een Palestijns symbool is geworden voor de “vluchtelingenkwestie”. De groep noemt zichzelf “Het Volksverzetsfront van Mensen die Rechtvaardigheid Zoeken” en is sinds ten minste december 2023 actief, ongeveer twee maanden na het uitbreken van de recente oorlog in Gaza.

Van Bennett tot atoomwetenschappers

Op de lijst van doelwitten van Handala staan hooggeplaatste politici, veiligheidsfunctionarissen en Israëlische burgers. Ongeveer tien dagen geleden maakte de groep bekend dat ze toegang had gekregen tot het Telegram-account van voormalig premier Naftali Bennett en persoonlijke correspondentie, contactlijsten en foto’s had gepubliceerd. Bennett gaf uiteindelijk toe dat “toegang tot het Telegram-account was verkregen”, maar benadrukte dat de telefoon zelf niet was gehackt.

Ongeveer drie weken geleden publiceerde de groep informatie over een rood boeket bloemen dat volgens hun bewering was achtergelaten in de auto van een hooggeplaatste Israëlische atoomwetenschapper. “Gisteren hebt u ons boeket ontvangen. Het is een ogenschijnlijk onschuldig voorwerp, maar hebt u het gewicht ervan opgemerkt?”, luidde de dreiging. Samen met de documenten werd een lijst met namen en telefoonnummers gepubliceerd die naar verluidt toebehoren aan leden van eenheid 8200 van de Israëlische militaire inlichtingendienst IDF Intelligence Directorate.

Daarnaast publiceerde Handala de namen en gedetailleerde profielen van 14 personen die volgens de groep een sleutelrol spelen bij de planning en ontwikkeling van dronesystemen in de IDF en de defensie-industrie.

De activiteiten van de groep zijn gericht op aanvallen tegen Israëlische bedrijven, overheidsinstanties en openbare instellingen. Tot de bekendste gevallen behoren de publicatie van gegevens over veel Israëli’s die begin februari 2025 een wapenvergunning hadden, en de bewering in september 2024 dat servers in verband met de nucleaire faciliteit Nahal Sorek waren gehackt, waarbij de hackers verklaarden ongeveer 197 gigabyte aan gegevens te hebben buitgemaakt.

Duidelijke band met Iran

Volgens een standpuntnota van het Jerusalem Institute for Strategy and Security (JISS) heeft de Handala-groep banden met een Iraanse eenheid die onder het ministerie van Inlichtingen valt. Het cyberbeveiligingsbedrijf Cyberint verwees naar een bericht uit december 2023 waarin Handala zijn steun voor Hamas uitsprak en schreef dat het na de moord op de commandant van de Revolutionaire Garde, Razi Mousavi, was begonnen met acties tegen Israël.

In 2024 publiceerde Microsoft rapporten waarin de groep duidelijk werd gekoppeld aan de Iraanse aanvalsgroep Storm-0842, die banden heeft met het Iraanse ministerie van Inlichtingen en ook verantwoordelijk is voor activiteiten onder de identiteiten “DarkBit” en “Homeland Justice”.

“Hun belangrijkste activiteiten zijn gebaseerd op onbeveiligde beveiligingsinbreuken, informatielekken en de gerichte verspreiding van materiaal op sociale netwerken”, legt Franco uit. Volgens hem onderscheidt Handala zich door een laag tot gemiddeld niveau van technologische verfijning, maar is het zeer actief en sterk gericht op het bereiken van publieke en media-aandacht.

Franco benadrukt: “De dreiging wordt niet alleen gemeten aan de hand van de directe technologische schade, maar ook aan de hand van het vermogen om menselijke en organisatorische zwakheden uit te buiten en geïsoleerde cyberincidenten te gebruiken als instrument in de voortdurende bewustzijnsoorlog tegen Israël.”

Dit is ook interessant

Israel Today nieuwbrief

Dagelijks nieuws

Gratis in uw mailbox

Israel Heute Newsletter

Tägliche Nachrichten

FREI in Ihrer Inbox