Ασφάλεια
Κυβερνοεπίθεση στη Stryker: Ιρανικό hacking group σβήνει χιλιάδες συσκευές μέσω Microsoft Intune
Microsoft Intune ως όπλο: η τεχνική ανάλυση
Στις 16 Μαρτίου, η Stryker επιβεβαίωσε ότι ο φορέας της απειλής χρησιμοποίησε το Microsoft Intune για να διαγράψει την εσωτερική virtual υποδομή της, καθιστώντας laptops, κινητές συσκευές και virtual servers ανενεργά. Σύμφωνα με πηγή με γνώση της επίθεσης που μίλησε στο KrebsOnSecurity υπό συνθήκες ανωνυμίας, οι δράστες φαίνεται να χρησιμοποίησαν το Microsoft Intune για να εκδώσουν εντολή «remote wipe» εναντίον όλων των συνδεδεμένων συσκευών. Το Intune είναι cloud-based λύση για IT teams που παρέχει ενιαία web-based κονσόλα διαχείρισης και ελέγχου συσκευών ανεξαρτήτως τοποθεσίας. Οι hackers παραβίασαν έναν λογαριασμό Windows domain admin και τον χρησιμοποίησαν για να δημιουργήσουν νέο Global Administrator account, από τον οποίο εκτέλεσαν το remote wipe μέσω Intune.
Το πρωί της 11ης Μαρτίου, εργαζόμενοι σε γραφεία της Stryker σε 79 χώρες άνοιξαν τους υπολογιστές τους και τους βρήκαν κενούς. Οι οθόνες login είχαν αντικατασταθεί με το λογότυπο ενός ξυπόλητου αγοριού που κρατά σφεντόνα. Πολλοί εργαζόμενοι είχαν εντάξει τα προσωπικά τους κινητά στο BYOD (Bring-Your-Own-Device) πρόγραμμα της εταιρείας, οπότε αυτά διαχειρίζονταν επίσης από τα IT συστήματα της Stryker. Και αυτά τα τηλέφωνα έκαναν factory reset, σβήνοντας όχι μόνο εταιρικές εφαρμογές αλλά τα πάντα: φωτογραφίες, eSIM και authenticator apps. Στη Μέριλαντ, οι υπηρεσίες έκτακτης ιατρικής ανέφεραν ότι το σύστημα Lifenet ECG της Stryker, που χρησιμοποιούν οι παραϊατρικοί για να στέλνουν καρδιολογικά δεδομένα στα νοσοκομεία πριν την άφιξη του ασθενή, έπεσε εκτός λειτουργίας σε μεγάλο μέρος της πολιτείας, αναγκάζοντας σε χρήση ραδιοεπικοινωνίας.
Ποιο είναι το Handala και ποια η σύνδεσή του με το Ιράν
Δυτικοί αναλυτές υποψιάζονται ότι το Handala συνδέεται με το Ιρανικό Υπουργείο Πληροφοριών (MOIS), με το Wired να το χαρακτηρίζει ως suspected front για το υπουργείο. Το αμερικανικό Υπουργείο Δικαιοσύνης το χαρακτήρισε ως πλαστή ταυτότητα που χρησιμοποιεί το MOIS για να συγκαλύπτει τον ρόλο του σε «influence operations και ψυχολογικές εκστρατείες εκφοβισμού». Πολλαπλές ανεξάρτητες εταιρείες threat intelligence, συμπεριλαμβανομένων των Check Point, CrowdStrike, Microsoft και Palo Alto Networks, αξιολογούν το Handala ως ένα από τα online personas που λειτουργεί το Void Manticore, μια μονάδα καταστροφικών επιχειρήσεων εντός του MOIS. Το group παίρνει το όνομά του από τον Handala, έναν ξυπόλητο Παλαιστίνιο πρόσφυγα που δημιούργησε ο πολιτικός γελοιογράφος Naji al-Ali το 1969, σύμβολο παλαιστινιακής ταυτότητας και αντίστασης.
Το Handala Hack Team έχει πραγματοποιήσει τουλάχιστον 131 τεκμηριωμένες επιθέσεις από τον Δεκέμβριο του 2023, με επιταχυνόμενο ρυθμό το 2026. Η ομάδα λειτουργεί μέσω ενός τεκμηριωμένου two-actor handoff: το Scarred Manticore (Storm-0861) εξασφαλίζει αρχική πρόσβαση μέσω μακροχρόνιων επιχειρήσεων, και στη συνέχεια παραδίδει στο Void Manticore (Storm-0842/Handala) για την καταστροφική φάση. Το Handala manifesto ανέφερε ρητά την εξαγορά της ισραηλινής εταιρείας OrthoSpace από τη Stryker το 2019 ως αιτία για τη στόχευσή της.
Τα claims της Handala και η απάντηση των αρχών
Η Handala ισχυρίστηκε ότι η επίθεσή της έπληξε 79 γραφεία της Stryker παγκοσμίως, με πάνω από 200.000 συστήματα, servers και κινητές συσκευές να υποστούν wipe, και 50 terabytes δεδομένων να εξαχθούν. Η Handala δημοσίευσε επιπλέον screenshots με ισχυρισμούς για wipe 12 petabytes δεδομένων και πρόσβαση σε Rubrik Secure Vault backups και vSphere control panels. Οι ισχυρισμοί αυτοί παραμένουν αναπόδεικτοι και πρέπει να αντιμετωπίζονται με επιφύλαξη, καθώς σε επιθέσεις καταστροφικού χαρακτήρα τα claims των επιτιθέμενων συχνά υπερβάλλουν για να μεγιστοποιήσουν την αντιληπτή επίπτωση. Το FBI κατέσχεσε δύο domains που χρησιμοποιούσε η Handala για τη διαρροή των κλεμμένων δεδομένων. Η CISA προειδοποίησε εταιρείες να θωρακίσουν τα συστήματα διαχείρισης του στόλου συσκευών τους, επιβεβαιώνοντας ότι είναι ενήμερη για τη χρήση του Intune στην επίθεση κατά της Stryker.
Επίπτωση στις λειτουργίες και ανάκτηση
Η Stryker επιβεβαίωσε ότι η επίθεση επηρέασε την επεξεργασία παραγγελιών, την παραγωγή και τις αποστολές, αλλά δεν έπληξε υπηρεσίες σχετικές με ασθενείς ή συνδεδεμένα ιατρικά προϊόντα. Προκλήθηκε κάποια διαταραχή σε τμήματα των εφοδιαστικών αλυσίδων, με αντίκτυπο σε ορισμένα health systems που αναγκάστηκαν να αναβάλουν χειρουργικές επεμβάσεις λόγω της αδυναμίας της Stryker να παραδώσει patient-specific προϊόντα. Η Stryker ανέθεσε στην Palo Alto Networks τη διεξαγωγή threat hunting, forensic analysis, containment, eradication και infrastructure review. Η Palo Alto Networks επιβεβαίωσε ότι δεν βρέθηκαν στοιχεία μη εξουσιοδοτημένης δραστηριότητας μετά την 11η Μαρτίου 2026. Η εταιρεία ανακοίνωσε στις 26 Μαρτίου ότι είχε κατά κύριο λόγο ανακάμψει από την κυβερνοεπίθεση.
Γιατί η επίθεση σε εταιρεία ιατρικής τεχνολογίας
Το περιστατικό της Stryker καταδεικνύει πώς οι επιτιθέμενοι μπορούν να αξιοποιήσουν το Microsoft Entra ID και το Intune ως καταστροφικά control planes, σβήνοντας συσκευές και διαταράσσοντας λειτουργίες χωρίς την ανάπτυξη malware. Σύμφωνα με τον Paddy Harrington, senior analyst της Forrester, η επίθεση δεν αξιοποίησε κάποια εγγενή αδυναμία του Microsoft Intune, αλλά ουσιαστικά χρησιμοποίησε living-off-the-land τεχνικές για να παρακάμψει τα υφιστάμενα συστήματα ασφαλείας. Η CISA σύστησε στους διαχειριστές δικτύων να διασφαλίσουν ότι ευαίσθητες ή υψηλής επίπτωσης ενέργειες στο Intune, όπως το remote wipe, απαιτούν έγκριση από δεύτερο administrator. Μετά την επίθεση, η Microsoft εξέδωσε οδηγίες για πελάτες σχετικά με την ενίσχυση της ασφάλειας Windows domains και την προστασία του Intune.
Πηγές
Ars Technica: The who, what, and why of the attack that has shut down Stryker's Windows network KrebsOnSecurity: Iran-Backed Hackers Claim Wiper Attack on Medtech Firm Stryker TechCrunch: Pro-Iran hacktivist group says it is behind attack on medical tech giant Stryker TechCrunch: CISA urges companies to secure Microsoft Intune systems after hackers mass-wipe Stryker devices HIPAA Journal: Stryker Fully Operational After March Cyberattack Cybersecurity Dive: Stryker attack raises concerns about role of device management tool Sygnia: Stryker Incident – Entra ID & Intune as Attack Vectors SecurityWeek: Stryker Says Malicious File Found During Probe Into Iran-Linked Attack
401
