Su Iranu susijusi programišių grupuotė prisiėmė atsakomybę už kibernetinę ataką prieš medicinos technologijų įmonę, kuri, regis, yra pirmasis reikšmingas atvejis, kai Iranas įsilaužė į amerikiečių įmonę nuo karo tarp šalių pradžios.
Įmonė Stryker, kurios būstinė yra Mičigane, gamina įvairią medicinos įrangą ir technologijas.
Istoriškai Iranas įvykdė keletą liūdniausių „valytuvų“ kibernetinių atakų prieš nacionalinius priešus, siekdamas tiesiog ištrinti visus kompiuterių tinklų duomenis. Tarp aukų yra Saudo Arabijos nacionalinė naftos bendrovė „Saudi Aramco“ 2012 m. ir „Sands Casino“ 2014 m.
Nuo karo pradžios kai kurios įsilaužėlių grupės, simpatizuojančios Irano vadovybei, pareikalavo nedidelių išpuolių, tačiau dauguma jų buvo nuleistos trumpam pakeisti svetainės išvaizdą ir nė viena iš jų neturėjo didelio poveikio. Kai kurios technologijų ir kibernetinio saugumo įmonės, įskaitant „Google“, ir elektroninio pašto kibernetinio saugumo bendrovė „Proofpoint“ sakė NBC News, kad daugiausia matė Irano įsilaužėlių šnipinėjimą, susijusį su karu.
Tačiau atrodo, kad tai pasikeitė trečiadienį, o tai buvo kitokio tipo ataka, kuri taip pat ištrynė informaciją iš įrenginių. „Stryker“ darbuotojas, kuris prašė nesąmonės tapatybės, nes neturi teisės kalbėti įmonės vardu, teigė, kad darbuotojo telefonai nustojo veikti, strigo darbas ir bendravimas su kolegomis.
„Handala Team“ prisiėmė atsakomybę už „Stryker“ įsilaužimą pareiškimuose savo „Telegram“ ir „X“ paskyrose. Grupė nuolat giriasi savo išnaudojimais socialinės žiniasklaidos platformose, kurios pastarosiomis dienomis panaikino ankstesnes savo paskyrų versijas.
Tiksliai, kaip buvo atliktas įsilaužimas, nėra aišku. Tačiau vieši įsilaužimo įrodymai rodo tikimybę, kad įsilaužėliai gavo prieigą prie bendrovės „Microsoft Intune“ paskyros, kurią darbuotojas patvirtino, kad Stryker naudojasi. Atrodo, kad iš ten Handala kai kurių darbuotojų įrenginius sugrąžino į gamyklinius nustatymus, sakė ekspertas.
„Panašu, kad jie gavo prieigą prie „Microsoft Intune” valdymo pulto. Tai sprendimas, skirtas valdyti įmonių įrenginius”, – sakė Rafe’as Pillingas, kibernetinio saugumo bendrovės „Sophos”, susietos Handala su Irano žvalgybos ministerija, grėsmių žvalgybos direktorius.
„Viena iš funkcijų yra galimybė nuotoliniu būdu išvalyti įrenginį, jei jis pametamas / pavogtas ir pan. Panašu, kad jie tai suaktyvino kai kuriems arba visiems užregistruotiems įrenginiams”, – sakė jis.
„Microsoft“ svetainėje nuotolinio ištrynimo funkcija apibūdinama kaip „dažniausiai naudojama, kai įrenginį reikia išjungti, naudoti iš naujo, nustatyti iš naujo trikčių šalinimui arba saugiai ištrinti, jei jis pametamas ar pavogtas“.
Trečiadienį savo tinklalapyje paskelbtame pranešime Stryker teigė, kad sutrikimas įvyko dėl kibernetinės atakos, tačiau jos pačios sistemos nebuvo tiesiogiai įsilaužtos ir kad išpirkos reikalaujančios programos – įprastas elektroninių nusikaltimų tipas, galintis taip pat smarkiai sutrikdyti įmonių tinklus – nebuvo veiksnys.
„Dėl kibernetinės atakos „Stryker“ patiria pasaulinį tinklo sutrikimą „Microsoft“ aplinkoje. Neturime jokių išpirkos reikalaujančių ar kenkėjiškų programų požymių ir manome, kad incidentas yra apribotas“, – sakoma pranešime.
Bendrovė neatsakė į prašymą pateikti daugiau informacijos. „Microsoft“ neatsakė į prašymą pakomentuoti.
