سایه سنگین «حنظله» بر زیرساخت‌های اسرائیل؛ تحلیل مخوف‌ترین گروه هکری خاورمیانه

وقتی کدهای مخرب جای موشک‌ها را می‌گیرند؛ در میان انبوه گروه‌های سایبری فعال در خاورمیانه، یک نام بیش از همه لرزه بر اندام مدیران آی‌تی و مقامات امنیتی تل‌آویو انداخته است: گروه هکری حنظله (Handala).

نویسنده:

بهراد یوسفی

گروهی که با ترکیب حملات باج‌افزاری، فرآیندهای پیچیده تخریب داده (وایپرها)* و عملیات‌های روان‌شناختی بی‌سابقه، خود را به عنوان یکی از پیشرفته‌ترین بازیگران سایبری منطقه معرفی کرده است. اما حنظله چیست، چه تاریخچه‌ای دارد و غول‌های امنیت سایبری جهان درباره آن چه می‌گویند؟ اتاق تحلیل ۲۴ نیوز در این گزارش تفصیلی به بررسی این پدیده می‌پردازد.

۱. حنظله کیست و نام آن از کجا می‌آید؟

برای درک هویت این گروه، ابتدا باید به نمادشناسی آن‌ها نگاه کرد. «حنظله» نام یک شخصیت کارتونی معروف و نمادین است که توسط کاریکاتوریست فلسطینی، «ناجی العلی»، خلق شد؛ کودکی ۱۰ ساله با لباس‌های وصله‌پینه‌دار که پشت به بیننده و دست‌به‌بست ایستاده و نماد مقاومت، مظلومیت و آوارگی است.

گروه هکری حنظله با انتخاب این نام و نشان، از همان ابتدا هویت و هدف‌گذاری خود را مشخص کرد: حملات سایبری هدفمند و ویرانگر علیه زیرساخت‌های حیاتی، نظامی، پتروشیمی و دیپلماتیک اسرائیل. اگرچه بسیاری از شرکت‌های امنیت سایبری غربی این گروه را به بازیگران دولتی یا شبه‌دولتی در ایران منتسب می‌کنند، اما خودِ این گروه همواره خود را یک جریان مستقل و حامی مقاومت معرفی کرده است.

۲. تاریخچه فعالیت‌ها و زنجیره حملات ویرانگر

حنظله از اواخر سال ۲۰۲۳ و هم‌زمان با تشدید درگیری‌ها در غزه، فعالیت‌های خود را به صورت عمومی در شبکه‌های اجتماعی (به‌ویژه تلگرام) آغاز کرد. برخلاف هکرهای سنتی که صرفاً به دنبال از کار انداختن موقت یک سایت (حملات DDoS) بودند، حنظله از همان روزهای اول نشان داد که به دنبال «تخریب کامل لایه‌های زیرساختی» است.

در ادامه، مهم‌ترین ایستگاه‌های تاریخی و عملیاتی این گروه را مرور می‌کنیم:

الف) نفوذ به رادارهای نظامی و سیستم‌های فرماندهی

یکی از اولین تکان‌های این گروه، ادعای نفوذ به سیستم‌های راداری مایکروویو و شبکه‌های فرماندهی نظامی اسرائیل بود. آن‌ها با انتشار تصاویر و اسنادی از داشبوردهای مدیریتی این رادارها، به کاربران نشان دادند که توانایی عبور از سخت‌ترین لایه‌های شبکه را دارند.

ب) هدف قرار دادن غول‌های فناوری و مخابراتی

در اواسط سال ۲۰۲۴ و ۲۰۲۵، حنظله تمرکز خود را روی شرکت‌های پیمانکار دفاعی و فناوری گذاشت. نفوذ به سیستم‌های شرکت‌های بزرگی که وظیفه پشتیبانی فنی از ارتش یا نهادهای دولتی اسرائیل را داشتند، به آن‌ها اجازه داد تا صدها ترابایت داده حساس، از جمله ایمیل‌های طبقه‌بندی‌شده، نقشه‌های ساختاری و اطلاعات پرسنلی را به سرقت ببرند.

ج) شاهکار مهندسی سایبری: بدافزار بومی وایپر (Wiper)

بزرگ‌ترین دارایی فنی حنظله که تحسین و تعجب محققان بین‌المللی را برانگیخت، توسعه بدافزارهای تخریب‌گر بومی بود. این گروه به جای استفاده از ابزارهای آماده، بدافزارهای اختصاصی طراحی کرد که پس از ورود به شبکه، تمام فایل‌ها و ساختار هارد دیسک سرورها را به گونه‌ای پاک و بازنویسی می‌کرد که بازیابی آن‌ها غیرممکن می‌شد.

د) سرایت حملات به شرکت‌های بین‌المللی؛ پرونده غول تجهیزات پزشکی (Stryker)

بررسی‌های اتاق تحلیل ۲۴ نیوز نشان می‌دهد که حنظله دایره فعالیت خود را از جغرافیای مستقیم اسرائیل فراتر برده است. در یک نمونه بسیار بزرگ در اوایل سال ۲۰۲۶، این گروه موفق شد به سیستم‌های شرکت چندملیتی و غول‌پیکر تجهیزات پزشکی «استرایکر» (Stryker) نفوذ کند. آن‌ها با قفل کردن دیتاسنترها و تهدید به افشای اطلاعات محرمانه خریدها و پرونده‌های حساس، نشان دادند که هر شرکت بین‌المللی که با اهداف آن‌ها همسو باشد یا به طرف مقابل خدمات بدهد، در بانک اهدافشان قرار دارد.
chain khbar

بازه زمانی	حوزه و هدف حمله	نوع و شگرد عملیات	پیامد و ابعاد خسارت
اواخر ۲۰۲۳	زیرساخت‌های نظامی و دفاعی	نفوذ به رادارهای مایکروویو	اختلال در سیستم‌های فرماندهی و افشای داشبوردهای مدیریتی
سال ۲۰۲۴	شرکت‌های فناوری و آی‌تی	حملات زنجیره تأمین (Supply Chain)	سرقت و افشای ده‌ها ترابایت داده حساس و نقشه‌های ساختاری
سال ۲۰۲۵	نهادهای دیپلماتیک و پتروشیمی	نفوذ عمقی و تزریق بدافزار بومی	قفل شدن سرورها، پاک‌سازی اطلاعات و نشت ایمیل‌های طبقه‌بندی‌شده
اوایل ۲۰۲۶	شرکت‌های چندملیتی (Stryker)	باج‌افزار ترکیبی + وایپر اختصاصی	از کار افتادن دیتاسنترها و تهدید به افشای پرونده‌های مالی و پزشکی

۳. تکنیک‌های نفوذ و شگرد متمایز حنظله

طبق گزارش‌های فنی آژانس‌های امنیت شبکه، موفقیت حنظله در سه تاکتیک اصلی نهفته است:

فیشینگ بسیار هوشمندانه و هدفمند (Spear Phishing): آن‌ها ماه‌ها روی رفتار کارمندان ارشد یک سازمان تحقیق می‌کنند و سپس ایمیل‌هایی چنان طبیعی و دقیق می‌سازند که قربانی بدون شک روی لینک آلوده کلیک می‌کند.
عملیات روانی هم‌زمان(Psychological Warfare): حنظله تنها به هک کردن بسنده نمی‌کند. آن‌ها هم‌زمان با قفل کردن سیستم‌ها، پیامک‌های انبوه و ایمیل‌های تهدیدآمیز برای مدیران و کارمندان آن سازمان می‌فرستند تا ساختار مدیریتی را در زمان بحران دچار فروپاشی و وحشت کنند.

مستندسازی و افشاگری قطره‌چکانی: آن‌ها با انتشار ویدیوهای جذاب از روند نفوذ خود و انتشار تدریجی اسناد (داده‌های حجیم چند ده گیگابایتی)، رسانه‌های بین‌المللی را مجبور می‌کنند که اخبار آن‌ها را پوشش دهند.

۴. بازتاب‌های بین‌المللی؛ منابع و غول‌های سایبری جهان چه می‌گویند؟

فعالیت‌های حنظله به قدری پیچیده و تاثیرگذار بوده که بزرگ‌ترین شرکت‌های امنیت سایبری و رسانه‌های معتبر فناوری دنیا مقالات و تحلیل‌های مفصلی را به تحلیل کدهای مخرب این گروه اختصاص داده‌اند.
شرکت ماندینت و گوگل کلود(Mandiant / Google Cloud): این غول امنیت سایبری جهان در چندین گزارش فنی، کدهای بدافزارهای استفاده‌شده توسط حنظله را تحلیل کرده است. ماندینت تاکید می‌کند که تکنیک‌های تغییر چهره بدافزارها و دور زدن آنتی‌ویروس‌ها توسط حنظله، نشان‌دهنده یک تیم برنامه‌نویسی بسیار مجرب و با پشتوانه مالی و لجستیکی قوی است.

آزمایشگاه امنیتی چک‌پوینت(Check Point Research): شرکت معروف چک‌پوینت که اصالتی اسرائیلی دارد، بارها گزارش‌های لحظه‌ای از حملات حنظله منتشر کرده است. چک‌پوینت به طور ویژه به تاکتیک‌های جنگ روانی این گروه و نفوذ آن‌ها به زیرساخت‌های صنعتی و پتروشیمی پرداخته و این گروه را یک تهدید سطح بالا (APT) دسته‌بندی کرده است.
رسانه بین‌المللی تکنولوژی تک‌کرانچ(TechCrunch): تک‌کرانچ در گزارش‌های خود به ابعاد اقتصادی و مدیریتی حملات حنظله، به‌ویژه هک شرکت‌های زنجیره تامین و تاثیر این حملات بر سقوط ارزش سهام شرکت‌های آسیب‌دیده نگاه کرده است.
پایگاه خبری کلوزت لوک و سایبر اسکوپ(CyberScoop): این رسانه‌ها به بررسی نحوه انتشار اسناد سرقت‌شده توسط حنظله در (Dark Web) پرداخته‌اند و تایید کرده‌اند که این گروه توانسته به حریم خصوصی کارگزاران و مقامات ارشد نفوذ کند.

۵.نتیجه‌گیری و چشم‌انداز آینده

گروه هکری حنظله نمونه بارز نسل جدید بازیگران در «نبرد سایبری مدرن» است. در این نوع نبرد، دیگر مرزهای فیزیکی معنایی ندارند و یک گروه برنامه‌نویسی حرفه‌ای می‌تواند از راه دور، شریان‌های حیاتی، اقتصادی و صنعتی یک کشور را فلج کند.

بحران اخیر شرکت استرایکر در سال ۲۰۲۶ ثابت کرد که حنظله نه تنها ضعیف نشده، بلکه با دستیابی به ابزارهای نوین و توسعه بدافزارهای پیشرفته‌تر، دایره نفوذ خود را به شرکت‌های چندملیتی حامی هدف‌هایش گسترش داده است. تداوم فعالیت این گروه نشان می‌دهد که دنیای دیجیتال اکنون به خط مقدم اصلی منازعات ژئوپلیتیک در خاورمیانه تبدیل شده است.

*بدافزار وایپر(Wiper Malware): خطرناک‌ترین نوع نرم‌افزار مخرب که هدفش دزدیدن یا اخاذی نیست، بلکه هدف اصلی آن پاک کردن و نابود کردن دائمی تمام داده‌های موجود روی کامپیوترها و سرورهاست تا سیستم کلاً از کار بیفتد.

تحلیل و تدوین تخصصی: اتاق تحلیل اخبار امنیت سایبری ۲۴ نیوز

گزارش خطا

پسندها:

اشتراک گذاری

روبیکا واتس‌اپ لینکدین توییتر تلگرام