En iransk hackergrupp uppges ha genomfört ett omfattande dataintrång som drabbat flera av Israels säkerhetsorgan.
Den resulterande dataläckan sägs innehålla en stor mängd känslig information, som personuppgifter och hemligstämplade dokument, och kan få långtgående konsekvenser för Israels fortsatta säkerhetsarbete.
Den iranska hackergruppen, Handala, påstås ha brutit sig in i det israeliska försvarets SSV-nätverk, ett avancerat blockchain-system som enligt uppgifter används av Mossad för att finansiera hemliga operationer utomlands.
Iranian hackers breach the Israeli Mossad’s SSV blockchain network and exposes sensitive intelligence data
The Handala group managed to hack the SSV blockchain and obtain what they say is 8 terabytes of data, some of which exposes classified Unit 8200 documents. It alleged that… pic.twitter.com/2942IFyG9e
— MintPress News (@MintPressNews) November 20, 2024
Intrånget ska ha resulterat i att hackarna fått tillgång till stora mängder data, bland annat identitetshandlingar, kontrakt, e-postmeddelanden och loggar från nätverkets noder och kluster. Enligt den indiska tidningen Republic World, som hänvisar till iranska källor, uppskattas dataläckan omfatta cirka 8 terabyte.
Bland materialet uppges även utvecklares identiteter, kundkännedomshandlingar och nätverkets källkod finnas, vilket kan innebära att hela nätverkets säkerhetsstruktur och funktionalitet riskerar att ha blivit exponerade.
SSV-blockchain-nätverket har tidigare marknadsförts som extremt säkert, och det sägs att Mossad tidigare utlovat en miljon dollar till den som lyckas identifiera sårbarheter i protokollet. Det är i nuläget oklart huruvida detta erbjudande fortfarande gäller och om de iranska hackarna i så fall kan komma att göra anspråk på belöningen.
Bland de verifierade detaljerna från listan med läckta uppgifter framkommer att överste Moshe Tetros personliga uppgifter ingår i det läckta materialet. Tetro, som är chef för COGAT:s samordnings- och förbindelseadministration för Gaza, har för övrigt tidigare uttalat att han anser att ”det inte råder någon humanitär kris” i Gaza och hävdat att ”tiotals lastbilar med mat” når området varje dag.
Den aktuella dataläckan sker i en tid då Israel redan skakats av rapporter om en tidigare läcka av känsliga dokument, som ägde rum i början av september tidigare i år. Enligt Le Monde rörde det sig om information som påstås ha försvårat pågående operationer i Gaza, inklusive ansträngningar för att befria israeliska gisslan. Premiärminister Benjamin Netanyahu har pekats ut som kopplad till denna läcka, vilket väckt stark kritik inom israeliska säkerhetskretsar, där man varnat för att sådana incidenter kan få allvarliga konsekvenser för landets säkerhet.
Pågående cyberkrig
Den påstådda hackningen kan ses som en del i ett pågående ”cyberkrig” som utspelar sig parallellt med de fysiska spänningarna mellan Israel och dess motståndare i regionen, i synnerhet Iran och Libanon. Enhet 8200, Israels signalspaningsenhet, har spelat en central roll i flera av landets mest uppmärksammade cyberoperationer. Enheten var en nyckelaktör bakom utvecklingen av Stuxnet-viruset, som användes för att sabotera Irans kärnenergiprogram, och har också utfört operationer riktade mot Hizbollahs kommunikationsinfrastruktur i Libanon.
Nyligen bekräftade premiärminister Benjamin Netanyahu att Israel låg bakom en attack där sprängladdningar riktades mot Hizbollahs personsökningsnätverk, vilket orsakade omfattande förstörelse. Teorier har framförts om att även denna operation kan ha involverat Enhet 8200, men någon officiell bekräftelse på enhetens roll i just detta fall finns inte.
Enhetens möjliga koppling till det hackade SSV-protokollet är också oklar. Protokollet har enligt uppgift använts av Mossad för hemliga operationer, men det är inte fastställt om Enhet 8200 varit involverad i dess utveckling eller drift. Samtidigt har det i samband med läckan framkommit påståenden om att vissa av de exponerade dokumenten innehåller hemligstämplad information kopplad till Enhet 8200, vilket väcker frågor om enhetens roll i nätverket.
Israels myndigheter har ännu inte kommenterat uppgifterna om den påstådda dataläckan. Om intrånget visar sig vara så omfattande som rapporterna antyder kan det allvarligt undergräva Israels förmåga att skydda känslig information och potentiellt äventyra pågående underrättelseoperationer, samt försämra förtroendet för landets säkerhetsinfrastruktur.
Handala är en hackergrupp som blivit aktiv sedan december 2023 och riktar sina attacker mot Israels kritiska infrastruktur och säkerhetsorgan. Gruppen använder sig av olika metoder, däribland phishing-kampanjer, ransomware-attacker och defacering av webbplatser, och har som mål att slå mot känsliga mål i Israel. Handala har uttryckt stöd för Hamas och den palestinska motståndsrörelsen.
Gruppen kommunicerar och organiserar sina operationer via plattformar som Telegram, BreachForums och Tox. Bland deras mer uppmärksammade handlingar finns ett påstått intrång i det israeliska podcastnätverket "Doscast", där de hävdar att de kommit över 3 miljoner datauppgifter från över 100 000 användare. De har också tagit ansvar för cyberattacker mot israeliska medborgare, särskilt genom phishing-metoder, och öppet utmanat Israels nationella cybersäkerhetsdirektorat genom provokativa uttalanden.
Enhet 8200 är en central signalspaningsenhet inom Israels försvarsmakt, ansvarig för insamling av signalunderrättelser (SIGINT) och kodknäckning. Enheten, som grundades 1952, spelar en avgörande roll i Israels underrättelseverksamhet och är jämförbar med USA:s National Security Agency (NSA). Den utgör en del av den militära underrättelsedirektoraten Aman. Enligt en läckt NSA-rapport, publicerad av The Guardian 2013, har Enhet 8200, under beteckningen ISNU, fått tillgång till rå, ofiltrerad data om amerikanska medborgare som en del av ett hemligt samarbetsavtal med NSA.
Enhet 8200 är den största enheten inom Israels försvarsmakt och består av flera tusen soldater, främst i åldern 18–21 år. Den är känd för sin förmåga att snabbt anpassa sig till tekniska förändringar och för att rekrytera individer med hög teknisk kompetens. Många av dess tidigare medlemmar har efter sin tjänstgöring grundat eller innehaft ledande positioner i internationella IT-företag, särskilt inom Silicon Valley.
Enhetens verksamhet omfattar hemliga operationer, cyberkrigföring, kontraspionage och övervakning. Den har varit involverad i flera framstående cyberoperationer, inklusive utvecklingen av Stuxnet-viruset som användes för att sabotera Irans kärnenergiprogram. Enheten har också kopplats till cyberattacker mot Hizbollahs kommunikationsnätverk.
Trots sin betydande roll i Israels säkerhetsapparat är mycket av Enhet 8200:s verksamhet höljd i sekretess, och detaljer om dess operationer och struktur är sällan offentligt tillgängliga.