Трудно найти израильтянина, который не получал подозрительное SMS-сообщение или не сталкивался с пугающим заголовком о масштабном взломе чувствительной базы данных. За многими из этих заголовков стоит одна группа, выбравшая себе название Handala ("Хандала") по имени известного образа мальчика-беженца, созданного палестинским карикатуристом Наджи аль-Али.
Однако не стоит обманываться романтичным названием: речь идет не о детях с клавиатурой и компьютером, а об одном из самых агрессивных подразделений иранской цифровой и психологической войны.
Чтобы понять Handala, необходимо прежде всего сопоставить ее с другими группами, действующими на этой арене. В то время как группа Black Shadow (известная по взлому страховой компании "Ширбит") делала ставку на вымогательство, сопровождаемое унижением, Handala отказалась от денег.
Она действует скорее по модели группы Moses Staff, но с гораздо более сильным акцентом на прямой гражданский террор и сотрудничество с такими группами, как Anonymous Sudan, для проведения атак типа отказа в обслуживании (DDoS) против инфраструктуры.
Важно также учитывать, что разные группы действуют по поручению разных структур - например, Корпуса стражей исламской революции или иранской разведки, - а это означает разные цели и, возможно, внутреннюю борьбу за бюджеты и признание.
►Иранские группы кибертеррора
По состоянию на конец 2025 года, несмотря на периоды "промышленной тишины" и временную утрату своих телеграм-каналов, Handala продолжает представлять угрозу. Последняя активность летом 2025 года против иранского оппозиционного телеканала Iran International в Лондоне доказала, что "руки" у группы длинные, не ограничиваются Израилем и нацелены на всех, кого иранский режим считает внешней угрозой.
Самое тревожное развитие в деятельности группы Handala в последние месяцы 2025 года связано не только с выводом сайтов из строя или массовой рассылкой сообщений, но с точечными попытками нанести удар по израильским лицам, принимающим решения.
Анализ последних моделей действий группы - включая взлом, приписываемый компьютеру бывшего премьер-министра Нафтали Беннета, устройств приближенных Цахи Бравермана и угрозы другим высокопоставленным лицам - выявляет иранскую стратегию, которую эксперты называют "атакой второго круга".
В отличие от кинематографического образа хакеров, взламывающих в реальном времени зашифрованные телефоны глав государств, метод Handala куда проще - и именно поэтому опаснее. Ведущие эксперты по кибербезопасности, в том числе выходцы из системы безопасности, объясняют, что группа поняла: нет смысла атаковать напрямую "красные" (защищенные и засекреченные) устройства армии или Мосада. Вместо этого усилия сосредотачиваются на личных устройствах помощников, советников и членов семей.
Атаки проводятся не обязательно на сам физический телефон, а на его резервную базу - например, облако или личный компьютер. Взломщики проникают в облачные сервисы, персональные компьютеры и старые резервные копии, хранившиеся небрежно. Получив такой доступ, можно извлечь переписки в WhatsApp, фотографии и календари встреч, накопленные за годы. Предполагается, что даже если устройство высокопоставленного лица защищено, устройство помощника, который ведет его расписание, защищено значительно меньше.
Наряду с реальными взломами Handala также специализируется на распространении дезинформации (FUD). Яркий пример - публикация драматичных текстов о якобы внутренних конфликтах в руководстве ШАБАКа, представленных как разведывательная информация. Проверки показали, что речь идет о фабрикации, призванной воспользоваться общественным напряжением в Израиле.
Метод ясен: берется зерно правды (реальный взлом низшего уровня или старая информация) и оборачивается слоями драматической лжи для создания громких заголовков.
►От активизма к государственной деятельности
Handala начала свою активную деятельность в конце 2023 года, параллельно с началом войны "Железные мечи". Поначалу группа воспринималась как очередное активистское объединение идеологических хакеров, осуществляющих простые DDoS-атаки для вывода сайтов из строя. Однако в 2024–2025 годах группа изменила свой облик.
Эксперты по информационной безопасности в Израиле и мире, включая такие компании, как Cyberint и Check Point, указали на трансформацию группы. В отличие от обычных киберпреступных групп, ищущих денежный выкуп (ransomware), цель Handala - репутационный и психологический ущерб. Их метод сочетает средние и высокие технические возможности с глубоким пониманием израильской психологии.
Ход Бен-Нун, сооснователь киберкомпании MIND, специализирующейся на утечках информации, пояснил в беседе с Ynet: "Handala - это проиранская хакерская группа, действующая под покровительством Корпуса стражей исламской революции, и ее активность является частью спланированной кампании влияния, а не разовым инцидентом. Речь идет о группе, действующей по четкой методике, с устойчивыми шаблонами поведения и явной привязкой к иранской арене. Это заметно по стилю письма, таймингу и прямой связи с актуальными событиями. Технологические возможности таких групп, как Handala, не обязательно исключительные, но сама способность получать доступ к широким массивам гражданской и негражданской информации и преподносить это как достижение служит четкой цели воздействия на общественное сознание. В подобных операциях ценность заключается не в самом содержании информации, а в факте доступа к ней".
Бен-Нун также утверждает: "Мы находимся в год выборов, и в такой реальности кибергруппы сознательно выбирают политических и государственных деятелей в качестве центральных целей, поскольку общественный эффект важнее самого контента. Взлом Беннета был лишь первым выстрелом, и вполне вероятно, что эта тенденция будет сопровождать нас в ближайшие месяцы. Уже можно распознать повторяющийся шаблон: опровержения разжигают дискуссию с иранской стороной и поощряют утечки материалов и доступ к личной информации, даже если она имеет низкую ценность. Для иранцев киберпространство сегодня воспринимается как ещё одно поле войны и как удобный, доступный и эффективный инструмент воздействия на общественное сознание в Израиле".
►Подрыв чувства безопасности
Одно из наиболее резонансных событий, глубоко врезавшихся в израильское общественное сознание, произошло в январе 2025 года. Группе удалось проникнуть в системы компании Maagar-Tec - поставщика электронного оборудования - и захватить системы оповещения в общественных учреждениях.
Результат оказался пугающим: включение сирен тревоги и трансляция угрожающих сообщений на арабском языке в детских садах по всему Израилю. Этот инцидент обозначил Handala не как группу, стремящуюся украсть номера кредитных карт, а как структуру, пытающуюся подорвать чувство личной безопасности в тылу.
К декабрю 2025 года группа записала на свой счет ряд "психологических успехов" наряду с техническими неудачами:
■ Взлом полиции Израиля (февраль 2025 года): группа заявила о краже 2,1 терабайта чувствительной информации. На практике, как и во многих других случаях, опубликованные данные оказались частичными, устаревшими или переработанными, однако репутационный ущерб был нанесен.
■ Ядерная угроза (сентябрь 2024 года): группа утверждала, что проникла на серверы, связанные с Ядерным исследовательским центром "Нахаль Сорек". Проверки Национального киберуправления и независимых экспертов показали, что это была психологическая война и что реальные оперативные данные похищены не были, однако мировые заголовки сделали свое дело.
■ Атаки Wiper (вредоносное ПО для уничтожения данных): на протяжении 2024 года группа распространяла разрушительные вредоносные программы под видом обновлений безопасности от легитимных компаний, таких как F5 или CrowdStrike. Целью было полное уничтожение серверов - тактика, напоминающая разрушительные атаки на саудовскую нефтяную компанию в прошлом десятилетии.
►Маленький мальчик на фронте кибервойны
В случае Handala использование образа мальчика Хандалы также является посланием. Логотип хакерской группы хорошо знаком тем, кто разбирается в ближневосточной политике: фигура маленького сердитого мальчика с руками, сложенными за спиной, и скрытым лицом.
Это и есть "Хандала" (Handala) - культурный иконический образ, родившийся в кувейтской прессе конца 1960-х годов и оказавшийся теперь на передовой кибервойны 2025 года. Использование этого образа не случайно; это часть продуманной тактики "отмывания идентичности", призванной служить режиму аятолл.
Образ Хандалы был создан палестинским карикатуристом Наджи аль-Али в 1969 году. Его имя происходит от слова "хандал" - горькое пустынное растение, символ упрямства и выживания в тяжелых условиях. По словам аль-Али, убитого в Лондоне в 1987 году при до сих пор не до конца выясненных обстоятельствах, Хандала - это десятилетний мальчик-беженец, - возраст, в котором сам аль-Али покинул Палестину в 1948 году.
"Он не вырастет, пока не вернется на родину", - объяснял ранее аль-Али. То, что Хандала почти всегда изображен спиной к зрителю, символизирует его молчаливый протест против мира и отказ смотреть зрителю в лицо до решения палестинской проблемы. Со временем образ вышел за пределы газетных полос и стал граффити на стенах домов в Иудеи и Самарии, подвесками на шеях активистов и универсальным символом "сумуд" (стойкости) и сопротивления.
Так как же нарисованный мальчик из лагерей в Ливане оказался на серверах иранской разведки? Ответ кроется в профессиональном термине False Flag ("ложный флаг"). В мире киберпространства ключевым является вопрос атрибуции. Иран, государство с развитыми кибервозможностями, заинтересован в нанесении ударов по израильской инфраструктуре - от больниц до систем оповещения, но старается не оставлять прямых отпечатков пальцев, которые могли бы повлечь военный ответ или новые жесткие международные санкции.
Приняв имя и логотип ярко выраженного палестинского символа, иранская атакующая группа выстраивает нарратив "хактивизма". То есть не суверенное государство атакует другое государство, а группа разгневанных граждан, борющихся за свою свободу.
Это идеальное прикрытие: оно придает моральную легитимность группе и ее деятельности в глазах сторонников по всему миру, усложняет оправдание конвенционального военного ответа со стороны Израиля и создаёт мгновенную эмоциональную идентификацию и поддержку на арабской улице.
В использовании Тегераном образа аль-Али есть горькая ирония. Покойный карикатурист был известен своей жесткой критикой не только Израиля и Запада, но и арабских режимов и диктатур, которые эксплуатировали палестинский вопрос в собственных политических интересах.
С технологической и психологической точки зрения брендинг работает. В дискуссиях в социальных сетях (Telegram, X) многие потребители контента убеждены, что речь идет о локальной группе из Газы или с Западного берега, а не о сотрудниках разведки, сидящих в кондиционируемых офисах в Тегеране.
Хандала образца 2025 года, возможно, все еще носит те же поношенные одежды, но в руках он сегодня держит клавиатуру, напрямую подключенную к серверам Корпуса стражей исламской революции.