Iran-støttede hackere tar på seg dataødeleggende angrep mot medteknologiselskapet Stryker

Hackergruppe med iransk tilknytning angriper medteknologiselskap

En hackergruppe med påståtte bånd til Irans etterretningstjenester har tatt på seg ansvaret for et omfattende dataødeleggende angrep mot Stryker, en ledende produsent av medisinsk teknologi med hovedsete i Michigan, USA. Gruppen, som kaller seg Handala (også kjent som Handala Hack Team), hevder å ha slettet data fra over 200 000 systemer, servere og mobile enheter på tvers av 79 land.

Iransk gruppe hevder gjengjeldelse for amerikansk missilangrep

I en uttalelse på Telegram begrunner Handala angrepet med et amerikansk missilangrep den 28. februar i år, som rammet en iransk skole og drepte minst 175 mennesker, hovedsakelig barn. Gruppen hevder at all innhentet data nå er tilgjengelig for «det frie folk i verden» for å avsløre urettferdighet og korrupsjon.

Ifølge The New York Times har en pågående militær etterforskning konkludert med at USA stod bak det dødelige Tomahawk-missilangrepet. Handala er én av flere hackergrupper som nylig er blitt analysert av cybersikkerhetsselskapet Palo Alto Networks, som knytter gruppen til Irans etterretningsministerium (MOIS).

Stryker mister kontroll over globale systemer

Stryker, som har 56 000 ansatte i 61 land, opplever nå omfattende driftsforstyrrelser. I Irland, selskapets største kontor utenfor USA, er over 5 000 ansatte sendt hjem etter at lokale medier rapporterte om en «bygningskrise». Ansatte i Irland kommuniserer nå via WhatsApp for oppdateringer om når de kan returnere til arbeid.

En anonym kilde forteller til Irish Examiner at alle systemer i hovedkvarteret i Cork er stengt, og at ansattes enheter er blitt fjernetstyrt og tømt for data. Innloggingssidene på disse enhetene er blitt endret til å vise Handalas logo. En ansatt forteller at «alle enheter med Microsoft Outlook på sine private telefoner har blitt tømt».

Mistenkes å ha brukt Microsoft Intune for fjernødeleggelse

Tradisjonelle wiper-angrep innebærer skadelig programvare som overskriver eksisterende data. Men ifølge en anonym kilse med innsikt i angrepet, skal gjerningsmennene i dette tilfellet ha utnyttet Microsofts tjeneste Microsoft Intune til å sende en «fjernødeleggelseskommando» mot alle tilkoblede enheter. Intune er en skytjeneste for enhetsadministrasjon som vanligvis brukes til sikkerhetsoppdateringer og fjernstyring.

Stryker ikke nådd for kommentar

Forsøk på å nå Stryker for kommentarer førte til en telefonsvarer ved hovedkontoret i Michigan som opplyste om en «bygningskrise» og ba om å ringe tilbake senere. Selskapets nettside opplyser at de har 56 000 ansatte globalt, men gir ingen ytterligere oppdateringer om situasjonen per publiseringstidspunktet.

«En pågående militær etterforskning har fastslått at USA stod bak det dødelige Tomahawk-missilangrepet.»

Hva er en wiper-angrep?

• Dataødeleggelse: Angrepet sletter eller gjør data permanent utilgjengelig ved å overskrive filer.
• Fjernstyring: Noen wiper-angrep, som dette, kan utføres via fjernkommandoer fra skytjenester som Microsoft Intune.
• Politisk motivert: Slike angrep brukes ofte av statlige aktører for å skape kaos eller sende et politisk budskap.