Atac cibernetic major la o importantă companie din SUA. Cum au reușit hackerii pro-iranieni să șteargă de la distanță telefoanele angajaților

Un atac cibernetic revendicat de grupul de hackeri Handala a paralizat temporar activitatea companiei americane Stryker, după ce telefoanele de serviciu ale angajaților ar fi fost șterse de la distanță.

Un grup de hackeri asociat Iranului a revendicat un atac cibernetic asupra companiei americane de tehnologie medicală Stryker, într-un incident care ar putea reprezenta prima operațiune majoră atribuită hackerilor iranieni împotriva unei companii din Statele Unite de la începutul războiului dintre cele două țări, relatează NBC News.

Atacul a provocat perturbări în activitatea companiei și a afectat direct dispozitivele de serviciu ale angajaților. Un angajat al companiei, care a dorit să-și păstreze anonimatul, deoarece nu este autorizat să vorbească în numele firmei, a declarat că telefoanele de serviciu au încetat brusc să funcționeze, blocând astfel comunicarea internă și o parte din activitatea companiei.

Compania Stryker, cu sediul în statul american Michigan, produce o gamă largă de echipamente și tehnologii medicale utilizate în spitale și clinici.

Atacul a fost revendicat de grupul Handala

Responsabilitatea pentru operațiune a fost revendicată de grupul de hackeri Handala, care a publicat declarații pe conturile sale de pe Telegram și X. Grupul se laudă frecvent pe rețelele sociale cu operațiunile sale și, potrivit relatărilor, și-a șters în ultimele zile versiunile anterioare ale conturilor.

Handala este considerat de experții în securitate cibernetică un grup de hackeri pro-iranian, activ în principal în operațiuni cu motivație politică. Analize ale firmelor de securitate informatică sugerează că grupul ar avea legături cu structuri ale statului iranian, inclusiv cu Ministerul Informațiilor de la Teheran.

Numele grupului provine de la personajul „Handala”, creat de caricaturistul palestinian Naji al-Ali și devenit un simbol al cauzei palestiniene, ceea ce reflectă orientarea politică declarată a hackerilor.

În ultimii ani, grupul a revendicat mai multe atacuri cibernetice împotriva unor instituții și organizații considerate adversari ai Iranului, inclusiv operațiuni de tip „hack-and-leak”, în care datele obținute sunt publicate online.

Iranul și atacurile cibernetice de tip „wiper”

Iranul a fost asociat de-a lungul timpului cu numeroase atacuri cibernetice de tip „wiper”, concepute pentru a distruge complet datele din rețelele informatice ale țintelor.

Printre cele mai cunoscute astfel de incidente se numără atacul din 2012 asupra companiei petroliere saudite Saudi Aramco și operațiunea din 2014 care a vizat compania americană Las Vegas Sands.

De la începutul conflictului dintre Iran și Statele Unite, mai multe grupuri de hackeri simpatizante ale regimului de la Teheran au revendicat atacuri minore, însă majoritatea s-au limitat la modificarea temporară a paginilor unor site-uri, fără a provoca pagube importante.

Potrivit unor companii de tehnologie și securitate cibernetică, printre care Google și Proofpoint, hackerii iranieni s-au concentrat în această perioadă în principal pe activități de spionaj informatic legate de război.

Situația pare să fie alta de această dată, când atacatorii au folosit o metodă diferită, care a dus la ștergerea datelor de pe dispozitivele angajaților, după ce ar fi obținut acces la contul companiei din platforma Microsoft Intune, un sistem utilizat pentru administrarea dispozitivelor corporative.

De acolo, atacatorii ar fi declanșat funcția de ștergere de la distanță, ceea ce a dus la resetarea unor telefoane la setările din fabrică.

„Se pare că au obținut acces la consola de gestionare Microsoft Intune. Aceasta este o soluție pentru gestionarea dispozitivelor corporative”, a spus Rafe Pilling, directorul departamentului de informații privind amenințările la compania de securitate cibernetică Sophos, care a legat Handala de Ministerul Informațiilor din Iran.

„Una dintre caracteristici este capacitatea de a șterge de la distanță un dispozitiv dacă acesta este pierdut/furat etc. Se pare că au declanșat această funcție pentru unele sau toate dispozitivele înregistrate”, a spus el.

Reacția companiei

Într-o declarație publicată miercuri, 12 martie, pe site-ul său, compania Stryker a confirmat că incidentul a provocat o întrerupere globală a rețelei sale din mediul Microsoft, dar a precizat că propriile sisteme nu au fost compromise direct.

„Stryker se confruntă cu o întrerupere globală a rețelei în mediul nostru Microsoft ca urmare a unui atac cibernetic. Nu avem indicii privind existența unui ransomware sau malware și considerăm că incidentul este sub control”, a transmis compania americană, fără a oferi alte detalii.

Reprezentanții Microsoft nu au comentat până în prezent incidentul.