Одной кнопкой уничтожить данные на 200000 устройств. Рассказываем, как иранские хакеры остановили работу клиник

Рабочий день в ирландском офисе производителя медицинского оборудования Stryker закончился неожиданно быстро. Более 5 000 сотрудников отправили домой, внутренние системы перестали работать, а на устройствах сотрудников начали появляться экраны с логотипом хакерской группировки Handala. Группа объявила, что уничтожила данные в инфраструктуре компании.

Stryker – крупный производитель медицинской и хирургической техники из города Каламазу, штат Мичиган. Компания работает в десятках стран и за прошлый год получила около 25 млрд долларов выручки. В заявлении, опубликованном в Telegram, хактивистская группировка Handala взяла на себя ответственность за масштабную атаку. По словам участников группы, атака затронула офисы компании в 79 странах, а злоумышленники стёрли данные более чем с 200 тысяч компьютеров, серверов и мобильных устройств.

В заявлении Handala говорится, что вся полученная информация «передана свободным людям мира» и может использоваться для «разоблачения несправедливости и коррупции». Группировка связала атаку с ракетным ударом 28 февраля по школе в Иране, где погибли не менее 175 человек, большинство из которых – дети. Газета The New York Times сообщает, что военное расследование возложило ответственность за запуск ракеты «Томагавк» на Соединённые Штаты.

Группировка Handala появилась в конце 2023 года. Компания Palo Alto Networks связывает Handala с Министерством разведки и безопасности Ирана. По данным компании, Handala представляет собой одну из интернет-личностей, которыми пользуется хакерская структура Void Manticore, связанная с иранскими спецслужбами.

На фоне атаки работа Stryker оказалась серьёзно нарушена. В ирландском городе Корк расположен крупнейший офис компании за пределами США. По данным ирландских СМИ, сотрудники офиса сейчас общаются через WhatsApp и ждут новостей о восстановлении работы. Один из сотрудников сообщил изданию, что все системы, подключённые к корпоративной сети, перестали работать. Более того, личные смартфоны сотрудников, где была настроена почта Microsoft Outlook, также потеряли данные.

Источники издания сообщили, что в штаб-квартире Stryker в Корке системы полностью остановлены, а корпоративные устройства сотрудников очищены. На экранах входа некоторых устройств появился логотип группировки Handala.

Атаки с уничтожением данных обычно проводят с помощью вредоносных программ, которые перезаписывают содержимое заражённых устройств. Однако источник, знакомый с ситуацией, сообщил KrebsOnSecurity другую деталь. Злоумышленники могли использовать облачный сервис управления устройствами Microsoft Intune и отправить через него команду удалённого стирания данных на подключённых устройствах.

Microsoft Intune предназначен для администраторов информационных систем. Сервис позволяет централизованно управлять компьютерами и смартфонами сотрудников, контролировать настройки безопасности и удалённо очищать устройства при необходимости. Косвенно эту версию подтверждают обсуждения на Reddit. Пользователи, представившиеся сотрудниками Stryker, написали, что руководство срочно потребовало удалить Intune со всех устройств.

Palo Alto Networks ранее отмечала, что Handala чаще всего атакует израильские цели, но иногда выбирает другие организации, если атака помогает продвигать политическую повестку. Группировка уже заявляла об атаках на топливные системы в Иордании и на израильскую энергетическую компанию.

В опубликованном манифесте участники Handala назвали Stryker «корпорацией с сионистскими корнями». Вероятно, речь идёт о покупке израильской компании OrthoSpace в 2019 году.

Проблемы у производителя медицинского оборудования уже начали отражаться на работе медицинских учреждений. Сотрудник крупной университетской клиники в США сообщил, что больница временно не может заказывать хирургические материалы через Stryker.

«Фактически речь идёт об атаке на цепочку поставок. Почти каждая американская больница, где проводят операции, использует продукцию Stryker», – рассказал сотрудник медицинской системы на условиях анонимности.

Советник Американской ассоциации больниц Джон Ригги сообщил, что организация следит за ситуацией и обменивается информацией с федеральными ведомствами и медицинскими учреждениями. Пока ассоциация не видит прямых перебоев в работе больниц США, однако ситуация может измениться, если восстановление систем Stryker затянется.