סייבר אקדמי: האקרים איראנים טוענים שפרצו למכללה האקדמית ר"ג

קבוצת האקרים איראנית טוענת כי פרצה למערך ה-IT של המכללה האקדמית רמת גן.

בערוץ הטלגרם של הקבוצה, Handala Hack, חבריה פרסמו קובץ ובו נתונים ומסמכים המכילים מידע על סטודנטיות וסטודנטים אשר לומדים במכללה.

ההאקרים הצליחו לערוך פעולות השחתה ("חירבוש") באתר המכללה, וכך, הופיעו בו הודעה התומכת בתושבי רפיח (We stood by Rafah), עם הבטחה להמשך: "זו היתה רק אזהרה".

לפי אחד מהדיווחים, בין הקבצים שפורסמו היה גם מידע רפואי. לא ברור האם מידע זה אכן שייך למכללה ונגנב ממנה, או שמדובר במידע שמקורו בפריצה אחרת.

המכללה פרסמה הודעה לסטודנטים ובה אושר דבר הפריצה, לפיה התוקפים אכן הצליחו לחדור למערכת ה"מודל" של המכללה. לדברי המכללה, המידע שנגנב כולל רק פרטי משתמש, טלפון ואימייל.

המכללה האקדמית רמת גן מסרה בתגובה כי "סביבת הלמידה (Moodle) של המכללה נפרצה מוקדם יותר היום (ש') על ידי האקרים. הפורצים הצליחו לשים ידם על רשומות המשתמשים הכוללות פרטי משתמש, מספר טלפון, ודואר אלקטרוני בלבד. למיטב ידיעתנו ובדיקתנו לא נפרצו מערכות נוספות… מערך הסייבר של המכללה השתלט חזרה על סביבת הלמידה, והיא שבה לפעילות מלאה ותקינה. הודעה והנחיות בנדון הופצו לסטודנטים ולסגל".

לערער את אמון הציבור במוסדות

גורם אבטחה המעורה בפרטי המקרה, אמר לאנשים ומחשבים כי "הפעולה נועדה לשתי מטרות. האחת, גניבת מידע 'קלאסית' ופרסומו. השנייה היא חלק ממבצע השפעה, שמטרתו לערער את אמון הציבור במוסדות השלטון ובכלל הגופים הפועלים במדינה – ולכן אין זה חשוב האם הפרטים שפורסמו הם נכונים".

בכיר באבטחה אמר לאנשים ומחשבים כי "האירוע הוא חלק מדפוס הפעולה של האיראנים. לצד מתקפות 'איכותיות', או ניסיונות תקיפה של תשתיות לאומיות קריטיות, הם לא בוחלים לתקוף גם ארגוני SMB. והיה אם הפריצה תצלח, הם יוכלו לעשות בה שימוש כפול – או לנסות להגיע ליעדים אחרים, איכותיים יותר, בשיטת 'מתקפת שרשרת אספקה', או לייצר תבהלה בקרב אלפי הסטודנטים, כפי שכבר ראינו במתקפות קודמות, בהן נחשפו עשרות אלפי, או יותר, נתונים של לקוחות".

בדצמבר 2023 נחשפה מתקפת פישינג איראנית, שמתחזה ומנסה להונות אנשי מחשוב בארגונים להוריד עדכון אבטחה. אלא שבפועל, המתקפה מביאה להורדת נוזקות שגונבות ומוחקות מידע.

שם הקבוצה קשור למאבק הפלסטיני – או לדמות קומיקס?

מערך הסייבר הלאומי הנפיק אזהרה בנושא, לאחר מחקר שערך בשיתוף חברה מסחרית. נמצא כי מאחורי ניסיון זה עומדת קבוצת תקיפה איראנית. לאנשים ומחשבים נודע כי מדובר בקבוצה המתכנה חנדלה (Handala Hack Team), שלקחה אחריות על מתקפות הסייבר הללו. ההאקרים מציגים את עצמם כקבוצה האקטיביסטית, פרו-פלסטינית, שהוקמה באחרונה, אולם חוקרי אבטחה ציינו כי זהותם נותרה לא ברורה. כך או כך, הם הקימו חשבונות מדיה חברתית שונים, כולל ב-טלגרם וב-X, וגם הרימו אתר – שאינו שלם. חברי 'חנדלה" דיווחו בערוצים שלהם על המתקפות בזמן אמת, ובאותן ההזדמנויות אף לעגו למערך הסייבר הלאומי של ישראל.

משמעות השם חנדלה, או חנט'לה, היא 'פקועה' – פרי שטעמו מר, ויש מי שסבור כי השם מהדהד למרירות של הפלסטינים במאבקם לזהות ולעצמאות מדינית. אפשרות אחרת היא הדהוד לדמות קומיקס מפורסמת של הקריקטוריסט נאג'י אל על, שהופיעה בראשונה לפני יותר מ-50 שנה. מנגד, יש חוקרי אבטחה שחושבים שלא מדובר בהאקרים איראניים, כי דמותו של חנדלה משמשת גם כסמל התנועה הירוקה באיראן. תנועה זו קמה לאחר הבחירות לנשיאות איראן ב-2009, על מנת להפיל את שלטונו של מחמוד אחמדינג'אד.