Крупная кибератака на Stryker привела к удаленному стиранию данных с тысяч устройств после возможного взлома системы Microsoft Intune проиранской группировкой. Детали туманны, но инцидент может соперничать по масштабам с атакой Shamoon. — csoonline.com
Крупная кибератака на американского гиганта по производству медицинских товаров Stryker привела к удаленному стиранию данных с тысяч устройств после того, как проиранская хакерская группировка, предположительно, скомпрометировала систему управления Microsoft Intune компании.
Подробности остаются неясными, но то, что произошло в среду с одной из крупнейших в мире компаний по производству медицинских товаров, в случае подтверждения может соперничать по масштабам с печально известным инцидентом Shamoon 2012 года, когда были стерты данные с 30 000 компьютеров Saudi Aramco. В Stryker работают 56 000 сотрудников по всему миру.
В Ирландии тысячи сотрудников Stryker не могли войти в свои компьютеры, в то время как другие по всему миру жаловались в Redditи X на то, что несколько устройств были стерты.
«Нет признаков вредоносного ПО»
«На данный момент нет никаких признаков вредоносного ПО или программ-вымогателей, и мы считаем, что ситуация ограничена только нашей внутренней средой Microsoft», — говорилось в обновлении компании в четверг.
Днем ранее из-за серьезности продолжающегося сбоя Stryker подала более подробный отчет в Комиссию по ценным бумагам и биржам США (SEC).
«Инцидент вызвал и, как ожидается, продолжит вызывать сбои и ограничения доступа к некоторым информационным системам и бизнес-приложениям Компании», — заявила Stryker. «В то время как Компания усердно работает над восстановлением затронутых функций и доступа к системам, сроки полного восстановления пока неизвестны».
Подача такого отчета требуется только в том случае, если публичная компания подвергается атаке, которую инвесторы могут счесть материально значимой.
Тот факт, что было затронуто несколько устройств, включая мобильные устройства BYOD, указывает на компрометацию системы управления Microsoft Intune компании. Хотя это не было подтверждено, успешная компрометация Intune позволила бы злоумышленникам удаленно стирать данные с устройств, без необходимости развертывания вредоносного ПО.
Handala берет на себя ответственность
Группа угроз Handala быстро взяла на себя ответственность за атаку. Хотя причастность группы пока является лишь заявлением, сотрудники Stryker, по сообщениям, видели версию логотипа Handala — мультяшного палестинского мальчика, стоящего спиной с руками, скрещенными за спиной, — на скомпрометированных устройствах.
Личность Handala трудно установить. Palo Alto связывает ее с Министерством разведки и безопасности Ирана (MOIS) через вторую личность, Void Manticore. Другие поставщики услуг безопасности используют другие названия, включая Banished Kitten и Storm-842.
Политическая мотивация группы менее загадочна. В заявлении на веб-сайте группа назвала кибератаку ответом на нападение на школу в иранском городе Минаб 28 февраля, в результате которого погибли до 170 детей и взрослых.
«Мы заявляем миру, что в отместку за жестокое нападение на школу в Минабе и в ответ на продолжающиеся кибератаки на инфраструктуру Оси Сопротивления наша крупная кибероперация была проведена с полным успехом», — говорится в заявлении. «В ходе этой операции было стерто более 200 000 систем, серверов и мобильных устройств, а также извлечено 50 терабайт критически важных данных».
Критический недостаток
Если Intune стал путем компрометации, первой задачей для команды криминалистов Stryker будет выяснить, как злоумышленники проникли в систему.
«Stryker использует Entra для аутентификации, которая интегрирует все с единым входом, включая программное обеспечение, которое создает и обновляет все устройства, включая серверы, ноутбуки и телефоны», — прокомментировал Роб Демейн, генеральный директор компании по управлению безопасностью e2e-assure.
«Это лучшая практика проектирования, но с критическим недостатком: если она скомпрометирована, злоумышленник получает доступ для стирания всех устройств, что, по-видимому, и произошло. Первоначальный доступ, вероятно, был получен путем кражи учетных данных, обычно с помощью Adversary-in-the-Middle (AitM)».
Компрометация такой критически важной системы свидетельствует о серьезном сбое в системе безопасности, отметил Джон Эбботт, генеральный директор и соучредитель компании по управлению безопасностью ThreatAware.
«Злоумышленники либо обманом заставили службу поддержки сбросить учетные данные администратора, как мы видели при атаках Scattered Spider, захватили машину администратора или провели целенаправленный фишинг в отношении администратора», — сказал Эбботт.
«Маловероятно, что злоумышленники смогли бы провернуть это без чьей-либо критической базовой ошибки. Любой, кто предоставляет доступ к учетной записи администратора, должен усилить свои проверки верификации. Многие наши клиенты теперь требуют трехсторонних видеозвонков перед сбросом учетных данных администратора, собирая вместе администратора, его руководителя и оператора службы поддержки».
Компании по безопасности предсказывали, что проиранские группировки будут нацеливаться на американские компании с помощью атак с удалением данных, когда начнется война. Это повышение уровня угрозы с четким посланием: иранские государственные субъекты теперь агрессивно нацелены на американские компании и их цепочки поставок и никого не пощадят. Любая слабость и ошибка будут использованы.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn