Iranische Hackergruppe greift Medizintechnik-Riese Stryker an: Datenvernichtung in 79 Ländern

Iranische Hackergruppe Handala übernimmt Verantwortung für Cyberangriff auf Stryker

Eine mit dem iranischen Geheimdienst verbundene Hackergruppe hat einen massiven Cyberangriff auf den globalen Medizintechnikhersteller Stryker gestartet. Die Gruppe Handala (auch bekannt als Handala Hack Team) behauptet, für einen Datenwischer-Angriff verantwortlich zu sein, der über 200.000 Systeme, Server und mobile Geräte in 79 Ländern betroffen hat.

Stryker, mit Hauptsitz in Kalamazoo, Michigan, und einem Umsatz von 25 Milliarden US-Dollar im Jahr 2023, ist einer der weltweit führenden Hersteller von medizinischen und chirurgischen Geräten. Der Angriff führte dazu, dass das Unternehmen in Irland, seinem größten Standort außerhalb der USA, über 5.000 Mitarbeiter nach Hause schicken musste.

Angriff als Vergeltung für US-Marschallschlag?

In einer ausführlichen Stellungnahme auf Telegram erklärte Handala, der Angriff sei eine Reaktion auf einen US-Marschallschlag am 28. Februar, bei dem eine iranische Schule getroffen und mindestens 175 Menschen, darunter viele Kinder, getötet wurden. Das New York Times berichtete heute, dass eine laufende militärische Untersuchung die Verantwortung für den tödlichen Tomahawk-Marschallschlag den USA zuweist.

„Alle erbeuteten Daten befinden sich nun in den Händen der freien Menschen dieser Welt. Sie stehen bereit, um für den wahren Fortschritt der Menschheit und die Aufdeckung von Ungerechtigkeit und Korruption genutzt zu werden.“

Technische Details: Remote-Wipe über Microsoft Intune

Laut einem vertraulichen Informanten, der anonym bleiben wollte, nutzten die Angreifer nicht klassische Wiper-Malware, sondern den Microsoft-Dienst Microsoft Intune, um einen Remote-Wipe auf allen verbundenen Geräten auszulösen. Intune ist eine cloudbasierte Lösung für Geräteverwaltung und Sicherheit.

Betroffene Mitarbeiter berichten, dass alle mit dem Netzwerk verbundenen Geräte gelöscht wurden. Ein anonymer Mitarbeiter aus Irland erklärte gegenüber dem Irish Examiner:

„Alles, was mit dem Netzwerk verbunden ist, ist ausgefallen. Selbst auf privaten Handys mit Microsoft Outlook wurden die Geräte gelöscht.“

Die Login-Seiten der betroffenen Geräte wurden zudem mit dem Logo von Handala verunstaltet.

Verbindung zum iranischen Geheimdienst

Die Cybersicherheitsfirma Palo Alto Networks hat Handala kürzlich als eine von mehreren Hackergruppen identifiziert, die mit dem iranischen Ministerium für Nachrichtendienste und Sicherheit (MOIS) in Verbindung stehen. Handala trat erstmals Ende 2023 in Erscheinung und wird als eine von mehreren Online-Personas der MOIS-nahen Gruppe Void Manticore eingestuft.

Stryker beschäftigt weltweit rund 56.000 Mitarbeiter in 61 Ländern. Ein Anruf am Mittwochmorgen bei der Medienhotline des Unternehmens in Michigan führte zu einer automatischen Ansage: „Wir erleben derzeit einen Gebäudenotfall. Bitte versuchen Sie es später erneut.“

Mitarbeiter in Irland kommunizieren aktuell über WhatsApp, um Informationen über eine mögliche Rückkehr an den Arbeitsplatz zu erhalten.

Hintergründe und mögliche Folgen

Cyberangriffe mit Datenwischern zielen darauf ab, Daten unwiederbringlich zu löschen und Systeme lahmzulegen. Solche Angriffe sind besonders kritisch in Branchen wie der Medizintechnik, wo Ausfallzeiten lebenswichtige Systeme gefährden können.

Die iranische Regierung hat in der Vergangenheit wiederholt Cyberangriffe als Vergeltungsmaßnahme für militärische oder politische Aktionen des Westens eingesetzt. Dieser Vorfall unterstreicht die wachsende Bedrohung durch staatlich unterstützte Hackergruppen und die zunehmende Professionalisierung von Cyberkriegsführung.