Месть за школу. Как иранские хакеры заставили 56 тысяч сотрудников американского гиганта отключить ноутбуки

Иран, вероятно, провел самую крупную кибератаку против США в условиях вооруженного конфликта за всю историю подобных операций. Целью стал американский производитель медицинского оборудования Stryker. Взлом вызвал глобальные сбои внутри корпоративной инфраструктуры и на несколько дней нарушил работу части сервисов компании.

Атака вывела ближневосточное противостояние за пределы региона и показала, как Тегеран может расширять ответ на военную кампанию США и Израиля. Американские чиновники много лет допускали именно такой сценарий. При отсутствии межконтинентальных ракет, способных достать территорию США, иранские структуры могли сделать ставку на асимметричный ответ: либо через теракты силами отдельных исполнителей, либо через крупные кибератаки по бизнесу и критической инфраструктуре.

По данным Stryker, инцидент затронул внутренние системы Microsoft. Компания заявила, что подключенные медицинские устройства не пострадали и остаются безопасными для использования. Часть больниц временно приостановила передачу медицинских данных, однако Stryker подчеркивает: решение приняли сами клиники и службы экстренной помощи, а не компания, и система Lifenet продолжала работать штатно.

Stryker выпускает импланты для суставов, роботизированные хирургические комплексы и другое медицинское оборудование. В среду руководство распорядилось, чтобы около 56 тысяч сотрудников по всему миру отключились от корпоративных сетей и не включали выданные компанией устройства. Жалобы сотрудников из США, Ирландии и Австралии быстро появились в сети. К воскресенью электронные системы заказов еще не восстановили полностью, хотя компания сообщила о постепенном возвращении ключевых сервисов. Приоритет отдали платформам, от которых зависят клиенты, прием заказов и отгрузка продукции.

Бывшие американские чиновники и специалисты по кибербезопасности считают взлом Stryker первым настолько крупным случаем, когда кибероружие встроили в более широкий военный кризис против США. Бывшая сотрудница ФБР по кибернаправлению Синтия Кайзер отметила, что нынешнее противостояние впервые настолько тесно связало цифровые и обычные боевые операции с обеих сторон. Американские власти уже признавали, что наступательные кибердействия вошли в первую волну ударов по Ирану в конце прошлого месяца.

На фоне неопределенности вокруг целей Вашингтона в конфликте с Ираном эксперты ждут новых атак на американские сети. Бывший директор CISA Джен Истерли заявила, что иранские структуры сохраняют серьезные возможности в киберпространстве, несмотря на военное давление. По оценке Истерли, под угрозой находятся не только объекты критической инфраструктуры вроде водоснабжения, энергетики и медицины, но и любой частный бизнес.

Западные спецслужбы давно считают Иран менее технологически изощренным соперником, чем Китай или Россия, но при этом более непредсказуемым. Иранские группы часто используют не самые сложные инструменты, а грубые и массовые методы вроде фишинга. Подобный подход не всегда приводил к заметным результатам, поэтому прежние предупреждения Вашингтона о возможном цифровом ответе Тегерана после военных ударов обычно не сопровождались действительно крупными сбоями. В случае со Stryker ситуация, похоже, изменилась.

Ответственность за атаку взяла на себя группировка Handala. Формально Handala выдает себя за независимых хактивистов, но западные эксперты и американские чиновники связывают группировку с иранским государством. Израильская компания Check Point в исследовании, опубликованном в четверг, назвала Handala структурой, связанной с Министерством разведки и безопасности Ирана, то есть с центральной разведслужбой страны. По словам представителей Check Point, Handala играет ключевую роль в наступательных кибероперациях ведомства и в последние месяцы расширила фокус с Израиля и стран Персидского залива на Европу и США.

Причину взлома Stryker пока официально не назвала. Следователи рассматривают версию с компрометацией учетных данных сотрудника или подрядчика, вероятно через фишинговую атаку. Такой доступ мог открыть злоумышленникам путь к Microsoft Intune, сервису удаленного управления устройствами. При захвате подобной панели атакующие получают возможность стирать данные сразу на тысячах ноутбуков и телефонов. По внутренним сообщениям компании, сотрудники обнаружили, что телефоны и ноутбуки под Windows были очищены. Сотрудникам также рекомендовали удалить приложения для управления мобильными устройствами и рабочие профили с телефонов.

Пока неясно, выбрали ли злоумышленники Stryker случайно или целенаправленно. В Telegram-канале Handala атаку назвали местью за удар по начальной школе в Иране, в результате которого, по версии иранских государственных СМИ, погибли более 160 человек, включая детей. Пентагон проверяет обстоятельства удара и, по данным The Wall Street Journal, допускает причастность США.

С начала нынешнего противостояния специалисты фиксировали и другие эпизоды предполагаемой иранской активности: атаки на государственные почтовые системы в Албании, попытку проникновения в исследовательскую ядерную организацию в Польше и операции в странах Персидского залива. Однако ни один из прошлых инцидентов, по оценке экспертов, не приблизился по масштабу и последствиям к истории со Stryker. Еще одна заметная перемена связана с тактикой самих группировок: иранские хакеры все чаще не только наносят ущерб, но и стараются публично усилить эффект угрозами и демонстративными заявлениями, чтобы давить на жертву и создавать чувство уязвимости у широкой аудитории.