Cuộc Tấn Công: Handala Nhắm Mục Tiêu Vào Các Quan Chức Israel (Bennett & Braverman)

Tháng 12/2025, nhóm hacker có liên hệ với Iran mang tên Handala tuyên bố đã xâm nhập hoàn toàn vào thiết bị di động của hai nhân vật chính trị cấp cao Israel. Tuy nhiên, phân tích kỹ thuật của KELA chỉ ra rằng các vụ xâm nhập này chỉ giới hạn ở tài khoản Telegram, thay vì chiếm quyền kiểm soát toàn bộ điện thoại như tuyên bố.

Mục tiêu đầu tiên là cựu Thủ tướng Naftali Bennett trong chiến dịch được gọi là “Operation Octopus”. Handala tuyên bố đã hack iPhone 13 của ông Bennett và công bố danh bạ, hình ảnh, video cùng khoảng 1.900 cuộc trò chuyện Telegram. Dữ liệu bị rò rỉ bao gồm thông tin liên hệ của nhiều quan chức cấp cao, nhà báo và lãnh đạo doanh nghiệp Israel. Ban đầu ông Bennett phủ nhận vụ việc, nhưng sau đó xác nhận có truy cập trái phép vào Telegram, đồng thời khẳng định thiết bị của ông vẫn an toàn.

Không lâu sau, Handala tiếp tục tuyên bố đã xâm nhập iPhone của Tzachi Braverman, Chánh Văn phòng của Thủ tướng Netanyahu. Nhóm này khẳng định nắm giữ các liên lạc mã hóa, hồ sơ tài chính và bằng chứng tham nhũng, đồng thời đe dọa công bố các tài liệu liên quan đến bê bối chính trị. Dữ liệu được công bố bao gồm danh bạ các quan chức cấp cao, video từ các sự kiện công khai và một số tài liệu không mật. Văn phòng Thủ tướng Israel đã phủ nhận vụ xâm nhập này.

Phân tích của KELA cho thấy phần lớn các “cuộc trò chuyện” được công bố thực chất chỉ là các thẻ danh bạ trống (contact cards) do Telegram tự động tạo khi đồng bộ hóa. Chỉ khoảng 40 cuộc hội thoại chứa tin nhắn thực sự. Toàn bộ danh bạ đều liên kết với các tài khoản Telegram đang hoạt động, xác nhận rằng dữ liệu được trích xuất từ Telegram, không phải từ hệ điều hành điện thoại.

Hồ Sơ Tác Nhân: Nhóm Hacker Handala Là Ai?

Handala xuất hiện lần đầu vào tháng 12/2023, lấy tên từ một nhân vật truyện tranh Ả Rập, và nhanh chóng hoạt động tích cực trên nhiều diễn đàn tội phạm mạng. Theo dữ liệu của KELA, nhóm này đã đăng khoảng 140 bài viết trên các nền tảng như BreachForums, Ramp và Exploit.

Handala vận hành nhiều kênh Telegram và tài khoản Twitter, thường xuyên bị đóng nhưng nhanh chóng mở lại dưới tên mới. Nhóm cũng sử dụng Tox cho liên lạc bảo mật, khai thác các nền tảng deface website và vận hành website riêng để công bố dữ liệu bị đánh cắp. Mục tiêu chính của Handala là các tổ chức và doanh nghiệp Israel, đồng thời thể hiện rõ lập trường ủng hộ Iran và Palestine trong các chiến dịch.

Phần lớn hoạt động của Handala dựa trên các chiến dịch phishing, giả mạo nhà cung cấp đáng tin cậy để dụ nạn nhân cài phần mềm độc hại hoặc bản cập nhật giả. Các chiến thuật này được sử dụng để triển khai wiper và infostealer, có khả năng xâm nhập cả hệ thống Windows và Linux. Ngoài ra, nhóm còn sử dụng Telegram như kênh C2, trực tiếp exfiltrate dữ liệu về các kênh Telegram riêng.

Nghiên cứu OSINT của KELA cho thấy Handala sử dụng nhiều nhà cung cấp email như ProtonMail và Outlook. Dù website bị gỡ nhiều lần, tên miền ban đầu được đăng ký dưới danh tính “Roxie Collins”. Các trang web chạy WordPress và từng để lộ trang đăng nhập quản trị, hé lộ tài khoản chính “vie6c” điều hành hệ thống. Nhóm cũng gặp khó khăn trong việc duy trì dịch vụ Tor onion và từng tìm kiếm hỗ trợ qua nền tảng aaPanel.

Theo nghiên cứu của blogger Iran Nariman Gharib, Handala được cho là một trong nhiều “mặt trận” thuộc hệ sinh thái tấn công mạng của Iran, có liên hệ với Bộ Tình báo Iran (MOIS). Các báo cáo công khai liên kết Handala với nhóm Banished Kitten, cùng các nhánh như Karma Below và Homeland Justice – được sử dụng để rò rỉ dữ liệu và gia tăng tác động tâm lý. Tháng 8/2025, danh tính một số thành viên Handala đã bị Iran International TV phanh phui.

Phương Thức Tấn Công: Handala Xâm Nhập Tài Khoản Telegram Như Thế Nào?

SIM Swap và Khai Thác Giao Thức SS7

SIM swap cho phép kẻ tấn công chiếm quyền kiểm soát số điện thoại của nạn nhân và nhận mã đăng nhập Telegram mà không cần truy cập thiết bị. Ngoài ra, các đối tượng tinh vi có thể khai thác lỗ hổng trong giao thức SS7 để chặn SMS ở cấp độ hạ tầng viễn thông.

Thu Thập OTP Đa Vector và Chiếm Quyền Tài Khoản

Kẻ tấn công có thể kết hợp nhiều kỹ thuật thu thập OTP, bao gồm:

• Kích hoạt xác minh qua cuộc gọi thoại và trích xuất mã OTP từ voicemail do PIN mặc định không thay đổi

• Giả mạo bộ phận hỗ trợ Telegram hoặc người quen để lừa nạn nhân (hoặc trợ lý) cung cấp mã đăng nhập

• Vận hành bot Telegram hoặc dịch vụ bên thứ ba giả danh công cụ bảo mật để thu OTP và tái sử dụng ngay lập tức

Phishing Qua Trang Đăng Nhập Giả và QR Code

Các trang phishing giả mạo giao diện đăng nhập Telegram được dùng để thu số điện thoại và OTP. Ngoài ra, mã QR độc hại khi quét có thể thiết lập phiên đăng nhập ngay lập tức trên thiết bị của kẻ tấn công mà không cần SMS.

MFA Không Bật Hoặc Yếu

Mật khẩu cloud của Telegram là tùy chọn và không bật mặc định. Nếu không bật, chỉ cần OTP là đủ để chiếm quyền tài khoản. Ngay cả khi bật, mật khẩu vẫn có thể bị đánh cắp qua phishing, keylogging hoặc tái sử dụng từ các cơ sở dữ liệu rò rỉ.

Chiếm Quyền Phiên Qua Telegram Desktop và Thư Mục tdata

Telegram Desktop lưu thông tin xác thực trong thư mục tdata. Nếu thư mục này bị sao chép từ máy tính bị xâm nhập, kẻ tấn công có thể khôi phục phiên đăng nhập mà không cần OTP hay MFA.

Rò Rỉ Dữ Liệu Telegram Qua Sao Lưu Đám Mây

Nếu dữ liệu Telegram hoặc thư mục tdata được sao lưu hoặc đồng bộ lên đám mây (iCloud hoặc hệ thống backup nội bộ), việc truy cập trái phép vào bản sao lưu có thể dẫn đến chiếm quyền tài khoản mà không để lại dấu vết trong Telegram.

Malware, Client Giả Mạo và Thiết Bị Bị Xâm Nhập

Malware nhắm mục tiêu có thể đánh cắp dữ liệu phiên, ghi log bàn phím hoặc exfiltrate tdata. Các client Telegram giả mạo hoặc bị cài mã độc có thể âm thầm thu OTP và token phiên.

Khai Thác Lỗ Hổng Telegram

Telegram từng vá nhiều CVE liên quan đến quản lý phiên và xử lý media, như CVE-2024-7014. Dù không đủ để chiếm quyền hoàn toàn, việc kết hợp các lỗ hổng này với OPSEC yếu có thể giảm đáng kể công sức tấn công. Ngoài ra, Handala có thể sở hữu zero-day chưa được công bố.

Telegram Có Thực Sự An Toàn?

Cấu hình mặc định của Telegram tạo ra nhiều khoảng trống bảo mật. ID tài khoản cố định cho phép theo dõi người dùng ngay cả khi đổi username. Các bot OSINT có thể liên kết hoạt động, nhóm tham gia và đôi khi cả số điện thoại.

Các vụ rò rỉ trước đây củng cố lo ngại này: năm 2020, cơ sở dữ liệu 900MB chứa hàng triệu số điện thoại bị rao bán; một sự cố khác làm lộ 42 triệu bản ghi người dùng Telegram Iran. Ngoài ra, chat thường không được mã hóa đầu-cuối, mà lưu trên máy chủ Telegram. Chỉ “Secret Chat” mới được mã hóa hoàn toàn và không thể đồng bộ đa thiết bị.

Đánh Giá Của KELA

Dựa trên bằng chứng pháp y, KELA kết luận vụ việc chỉ giới hạn ở quyền truy cập tài khoản Telegram, nhiều khả năng sử dụng cùng phương thức đã thấy trong các chiến dịch trước của Handala. Các vector khả dĩ nhất gồm:

• Social engineering hoặc spear phishing để lấy OTP/mật khẩu

• Đánh cắp tdata từ máy trạm bị xâm nhập

• Truy cập trái phép vào bản sao lưu đám mây

Dù Handala có thể đã phóng đại quy mô vụ tấn công, sự cố này nhấn mạnh nhu cầu cấp thiết về quản lý phiên và triển khai MFA, ngay cả trên các ứng dụng nhắn tin được xem là “an toàn”.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.