Компания заявляет, что не знает, сколько времени потребуется для восстановления своей среды Microsoft.
Источник: Getty Images Источник: Getty Images Настройки текстаТекст рассказа Размер Маленький Стандартный Большой Ширина * Стандартный Широкий Ссылки Стандартный Оранжевый * Только для подписчиков
Узнать больше Свернуть в навигацию
Спустя несколько часов после того, как две недели назад США и Израиль нанесли авиаудары по Ирану, специалисты по безопасности предупредили организации по всему миру о необходимости быть начеку и опасаться разрушительных ответных хакерских атак. В среду эти прогнозы, похоже, сбылись: компания Stryker, многонациональный производитель медицинского оборудования, подтвердила кибератаку, которая вывела из строя значительную часть ее инфраструктуры, а ответственность за нее взяла на себя хакерская группа, давно известная своей связью с иранским правительством.
Текущее положение дел
Когда и как произошло нападение?
Первые признаки появились в виде сообщений в социальных сетях и репортажа ирландского новостного агентства. В сообщениях, опубликованных в социальных сетях предполагаемыми сотрудниками Stryker или членами их семей, говорилось, что телефоны и компьютеры сотрудников были очищены от данных. В опубликованном в среду утром издании Irish Examiner, ссылающемся на многочисленные анонимные источники, содержались те же утверждения, и говорилось, что некоторые сотрудники видели на очищенных устройствах страницы входа с логотипом Handala Hack — группы, которую исследователи, следящие за ней годами, считают связанной с иранским правительством.
Какова текущая ситуация?
Компания Stryker заявила в четверг, что в настоящее время занимается устранением «глобального сбоя в сети Microsoft в результате кибератаки». В сообщении также говорится, что у специалистов по реагированию нет никаких признаков того, что в инциденте замешаны программы-вымогатели или вредоносное ПО — обычные причины подобных сбоев. Специалисты считают, что инцидент локализован и ограничен внутренней средой Microsoft.
Компания заявила, что устройства Lifepak, Lifenet и Mako, которые медицинские работники используют для мониторинга и контроля сердечных приступов, управления и передачи информации о пациентах в режиме реального времени, а также для проведения операций, функционируют в обычном режиме. В заявлении, поданном в Комиссию по ценным бумагам и биржам в среду, компания Stryker сообщила, что у нее нет сроков для восстановления нормальной повседневной деятельности.
Как вообще произошло проникновение в сеть компании Stryker?
Эта информация пока не является общедоступной. Это позволяет посторонним делать обоснованные предположения. Хакеры, спонсируемые Ираном, имеют долгую историю использования вредоносного ПО типа «вайпер» для безвозвратного уничтожения данных и жестких дисков, на которых они хранятся. Shamoon, вредоносная программа типа «вайпер», которая в 2012 году атаковала Saudi Aramco, крупнейшего в мире экспортера сырой нефти, и четыре года спустя снова поразила саудовские организации, связывалась с Ираном, хотя и не была установлена окончательно. В 2019 году исследователи сообщили об обнаружении новой вредоносной программы типа «вайпер», получившей название ZeroCleare, которая также связывается с Ираном.
Есть основания полагать, что атака на Stryker могла не соответствовать этой точной схеме. Во-первых, Stryker заявила, что пока не обнаружила доказательств наличия вредоносного ПО. Во-вторых, некоторые сообщения в социальных сетях — и неназванный источник, цитируемый в этом отчете KrebsOnSecurity, — указывают на то, что удаление данных было осуществлено с помощью InTune, инструмента Microsoft, который позволяет администраторам удаленно управлять большими парками машин из единого интерфейса.
Более того, компания Check Point, занимающаяся вопросами безопасности, заявила, что «Void Manticore» — внутреннее название группы, отслеживающей действия Handala Hack, — исторически использовала как собственные, так и общедоступные инструменты, а также ручные методы для удаления данных. Исследователи компании также отметили, что группа часто прибегает к услугам подпольных криминальных служб для получения первоначального доступа к целям, и этот метод, возможно, был использован против Stryker.
В совокупности эти соображения могут указывать на то, что злоумышленники получили доступ к интерфейсу InTune компании Stryker через брокера доступа или иным способом и использовали этот инструмент для отправки команд удаления по всей сети Windows компании.
Что ещё известно о Handala Hack?
Группа существует как минимум с 2023 года. Свое название она получила от персонажа политических карикатур палестинского художника Наджи аль-Али. На логотипе группы изображен маленький палестинский мальчик, символ палестинского сопротивления.
Check Point и другие компании, занимающиеся вопросами безопасности, заявили, что Handala Hack связана с Министерством разведки и безопасности Ирана и использует несколько онлайн-персон. По сравнению с другими хакерскими группами, спонсируемыми государством, Handala Hack вела себя сравнительно менее публично. Тем не менее, за эти годы она провела ряд разрушительных атак по удалению данных и операций по оказанию влияния.
Примерно в то же время, когда стало известно об атаке с использованием ракеты Stryker, в сообщениях в Telegram-аккаунте и на веб-сайте, контролируемом Handala Hack, утверждалось, что именно они взяли на себя ответственность за закрытие сайта. В сообщениях Handala упоминалось убийство 165 мирных жителей в женской школе в Иране на прошлой неделе американской ракетой Tomahawk, а также прошлые хакерские операции, которые США и Израиль проводили против Ирана.
Какой смысл в нападении на корпорацию в ответ на авиаудары, нанесенные США и Израилем?
Подобные действия предпринимаются из-за их психологического воздействия, которое зачастую несоразмерно больше, чем ресурсы, необходимые для их осуществления. В условиях ограниченных военных возможностей Ирана, запуск бронетранспортеров «Страйкер» предоставляет стране и её союзникам альтернативный способ ответных мер. Успех призван продемонстрировать, что проиранские силы всё ещё способны потребовать цену, которая окажет существенное влияние на значительные группы населения в США, Израиле и странах-союзниках.
Компания Stryker, являясь крупным поставщиком жизненно важных медицинских устройств, на которые полагаются США и их союзники, играет стратегическую и символическую роль в обеспечении их безопасности, заявили в четверг исследователи из Flashpoint. «Действуя под видом низового пропалестинского движения сопротивления, иранские государственные структуры могут проводить разрушительные кибер-операции против западных организаций, сохраняя при этом определенную степень правдоподобного отрицания причастности».
Источник: arstechnica.com
