文章总结： 亲伊朗黑客组织Handala实际通过劫持Telegram账户而非入侵设备获取了以色列政要数据。攻击手段疑似包括SIM卡交换、SS7漏洞利用及会话劫持。分析指出Telegram默认禁用云密码且标准聊天非端到端加密，建议用户加强验证设置以防范此类账户接管风险。 综合评分： 82 文章分类： 威胁情报,数据泄露,社会工程学,安全意识

【安全圈】Handala 黑客通过入侵 Telegram 账户攻击以色列官员

安全圈

2026年1月4日 19:01 江苏

关键词

黑客

2025年12月，与伊朗有关的黑客组织Handala声称，已完全入侵了两名以色列政要的移动设备。

然而，Kela网络情报研究人员的详细分析揭示，实际入侵范围更有限——攻击目标是特定的Telegram账户，而非完全获取设备访问权限。

该组织声称，在”章鱼行动”中入侵了前总理纳夫塔利·贝内特的iPhone 13，并泄露了联系人列表、照片、视频以及约1900条聊天记录。

此后不久，他们声称以类似方式访问了以色列参谋长察希·布拉弗曼的设备。尽管这些声称十分惊人，但实际的入侵暴露了账户安全方面的严重漏洞，而非设备层面的入侵。

Kela的分析师对泄露的材料进行了取证检查，发现大多数被曝光的对话是Telegram在同步过程中自动生成的空联系人卡片。

只有大约40个对话包含实际消息，其中显示实质性交流的对话更少。所有被曝光的联系人都链接到活跃的Telegram账户，证实数据来源于Telegram本身。

Kela的研究人员和分析师指出，该事件凸显了会话管理和账户安全实践中的严重漏洞，即使在加密消息平台上也是如此。

了解感染和账户接管机制可以揭示Handala是如何在没有完全设备访问权限的情况下入侵这些账户的。

该组织可能采用了多种攻击向量，包括SIM卡交换攻击——攻击者控制受害者的电话号码以接收登录验证码。

他们也可能利用电信基础设施中SS7协议的漏洞，在网络层面拦截短信。此外，Handala可能使用了复杂的钓鱼活动，通过虚假登录页面或恶意二维码窃取一次性密码。

会话劫持是另一种可能的攻击向量，即攻击者从Telegram Desktop复制tdata文件夹——该认证文件包含活跃会话数据，当在其他地方恢复时，可绕过一次性密码和多因素认证，提供完整的账户访问权限。

该组织的操作手法还包括通过多种技术获取一次性验证码：通过语音通话触发验证、利用未更改的默认PIN码从语音信箱提取验证码，或冒充Telegram支持人员，通过社会工程手段诱使工作人员泄露凭据。

Telegram的默认设置显著放大了这些风险。云密码功能是可选的，且默认禁用，这意味着仅凭一次性密码即可获得完整的账户访问权限。

标准聊天缺乏端到端加密，数据以云聊天的形式存储在Telegram服务器上，而非本地存储，这大大扩展了攻击面。

Handala最早于2023年12月出现，在多个网络犯罪论坛建立存在，并运营多个Telegram频道和社交媒体账户。

他们的行动主要针对以色列公司和组织，一贯在其活动中表现出对伊朗和巴勒斯坦事业的支持，这表明其具有国家支持或亲国家的动机。

END

阅读推荐

【安全圈】索尼 PlayStation 5 ROM 密钥泄露，BootROM 代码或使破解更容易

【安全圈】黑客以攻击法国高校开启新年，多所院校学生数据遭窃

【安全圈】超 50 个恶意脚本组成大型 Magecart 攻击网络，劫持支付结账与账户注册流程

【安全圈】17岁少年借助 ChatGPT 实施黑客攻击，725万用户信息遭泄露

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】Handala 黑客通过入侵 Telegram 账户攻击以色列官员》