חשיפה: הפריצה הגדולה לכללית בוצעה כבר לפני כמה חודשים

קבוצת חנדלה האיראנית, שפרסמה היום (ד') פרטים של מטופלים רבים של שירותי בריאות כללית, לא ביצעה את הפריצה היום או השבוע – אלא בסוף השנה שעברה; כך נודע לאנשים ומחשבים.

חברי חנדלה טענו הבוקר כי גנבו ופרסמו נתונים של 10,000 מבוטחים של הקופה. הם כתבו בחשבון ה-X של הקבוצה כי "שירותי בריאות כללית נפרצה. ארגון הבריאות הגדול בישראל נפל בידי ההתנגדות הקיברנטית. בשם הצדק, אנחנו, חיילי חזית ההתנגדות, הנחתנו מכה קשה בלב מערכת הבריאות של המשטר הציוני". מהכללית נמסר בשעות אחר הצהרים כי אנשי הסייבר של הקופה בודקים את המקרה "בצורה מעמיקה", תוך שיתוף פעולה עם הרשות להגנת הפרטיות, מערך הסייבר הלאומי ומשרד הבריאות, ושכל מערכות ה-IT והשירותים שלה "עובדות כסדרן ובאופן מלא".

אולם, כאמור, לא מדובר בפריצה חדשה, אלא באירוע המשך למתקפת סייבר שבוצעה, בהצלחה, בסוף 2025. חברי הקבוצה ערכו אז מתקפה בסגנון שרשרת אספקה, והצליחו לחדור לחברת אינטגרציה מצד ג' שעובדת עם שירותי בריאות כללית. או אז הם השיגו הרשאות ובעקבות זאת קצרו את המידע.

בועז קטן, חוקר איומים ב-TrendAI, ציין ש-"כהוכחה לפריצה שחנדלה נטלה עליה אחריות, חבריה פרסמו שלושה צילומי מסך, שמכילים מידע רפואי ופיננסי של לקוחות, וכן קובץ Rar., שמכיל דגימות נוספות של המסמכים שנגנבו. יש סיבה להאמין שהמידע נגנב במהלך ספטמבר האחרון, כחלק מפריצות לכמה ארגונים ישראליים. חנדלה מפרסמת את המידע שדלף מהארגונים השונים טיפין טיפין – כדי להעצים את האפקט הפסיכולוגי ולהשאיר את הנושא בכותרות".

מסמך שחנדלה פרסמה, שטענה שגנבה מהכללית. צילום: צילום מסך

אלכס שטיינברג, מנהל מוצר ESET בקומסקיור, התייחס להודעה של חנדלה ואמר כי היא "דוגמה נוספת לאופן פעולתה של הקבוצה במלחמה תודעתית-מדינית נגד אישים וארגונים בישראל (חברי הקבוצה טענו בעבר כי פרצו לטלפונים של ראש הממשלה לשעבר, נפתלי בנט, ומזכיר הממשלה הנוכחי, צחי ברוורמן – י"ה). מטרת הקבוצה היא לבצע נזק תודעתי וליצור תחושת אי ביטחון".

ה-"פרי המר" שתוקף את ישראל

אנשי חנדלה מציגים את עצמם כקבוצה האקטיביסטית, פרו-פלסטינית, אולם חוקרי אבטחה ציינו כי זהותם נותרה לא ברורה. משמעות השם חנדלה, או חנט'לה, היא "פקועה" – פרי שטעמו מר, ויש מי שסבור כי השם מהדהד למרירות של הפלסטינים במאבקם לזהות ולעצמאות מדינית. אפשרות אחרת היא הדהוד לדמות קומיקס מפורסמת של הקריקטוריסט נאג'י אל על, שהופיעה בראשונה לפני יותר מ-50 שנה.

מרבית מומחי האבטחה סבורים כי קבוצת חנדלה היא איראנית. מנגד, יש חוקרי אבטחה שחושבים שלא מדובר בהאקרים איראניים, כי דמותו של חנדלה משמשת גם כסמל התנועה הירוקה באיראן. תנועה זו קמה לאחר הבחירות לנשיאות איראן ב-2009, על מנת להפיל את שלטונו של מחמוד אחמדינג'אד.

כך או כך, חברי הקבוצה הקימו חשבונות מדיה חברתית שונים, כולל בטלגרם וב-X, וגם הרימו אתר – שאינו שלם. חברי חנדלה דיווחו בעבר בערוצים שלהם על מתקפות בזמן אמת, ובאותן ההזדמנויות אף לעגו למערך הסייבר הלאומי של ישראל.

"הפעילות המרכזית של חנדלה: הפעלת לחץ פסיכולוגי"

ד"ר הראל מנשרי, ראש תחום סייבר ב-HIT – המכון הטכנולוגי חולון. צילום: יח"צ

ד"ר הראל מנשרי, ראש תחום סייבר ב-HIT – המכון הטכנולוגי חולון, אמר כי "קבוצת חנדלה פעילה מאוד בסייבר. חבריה פועלים כמעין 'קבלן משנה' של MOIS – סוכנות הביון והביטחון של איראן. הפעילות שלהם היא בכמה עולמות תוכן, כאשר המרכזי שבהם הוא הפעלת לחץ פסיכולוגי, כחלק ממבצעי השפעה-תודעה. הם תוקפים יחידים וארגונים מחוץ לאיראן, בין השאר בישראל. הם תקפו בסייבר ותוקפים בסייבר, וככלל – הם טובים בביצוע מבצעי השפעה-תודעה ברשת. אולם, לצד זאת, בלא מעט מקרים הם לא מצליחים, או סתם מתפארים ומגזימים בגודל ההישג שלהם". ד"ר מנשרי, ממקימי מערך הסייבר בשב"כ, הזכיר בהקשר זה את הפריצה של חברי חנדלה למערכות כריזה בגני ילדים, שאירעה בינואר 2025.

אלכס שטיינברג, מנהל מוצר ESET בקומסקיור. צילום: ניב קנטור

לדברי שטיינברג, "דפוס הפעולה של קבוצת חנדלה כולל שילוב של תקיפות סייבר נקודתיות, או גישה למאגרי מידע, פרסום והדלפת נתונים ברשתות לצורך אפקט תודעתי, ולעתים ניפוח, או הצגת מידע חלקי, כדי לייצר הד תקשורתי ולפגוע באמון הציבור".

הוא ציין כי "בעולם שבו מתקפות סייבר משמשות כגורם לחץ על חברות וארגונים, ההיערכות צריכה לכלול מנגנוני זיהוי מוקדם, תגובה מהירה ותקשורת אחראית ללקוחות והציבור. ההגנה על נתונים רגישים, רפואיים, עסקיים ואישיים חייבת להיות בראש סדר העדיפויות של כל גוף, ובמיוחד כזה שמשמש תשתית ציבורית".