Az első jelektől a leállásig
Az incidens első jelei az ír médiában és közösségi oldalakon jelentek meg, ahol Stryker-dolgozók vagy hozzátartozóik számoltak be arról, hogy az eszközeik minden adatukkal együtt teljesen törlődtek. Emiatt több belső eszköz bejelentkezési oldalán egy Handala Hack nevű szervezet logója tűnt fel. Ez a csoport évek óta köthető az iráni kormányhoz, és most elsőként vállalta magára a támadást.
Az aktuális helyzet
A Stryker közlése szerint jelenleg is a globális hálózat helyreállításán dolgoznak, és a kiesést sem zsarolóvírus, sem kártékony kód nem okozta. A leállás csak a vállalat belső Microsoft-infrastruktúráját érinti, a Lifepak, Lifenet és Mako készülékek – vagyis a szívmonitorozásra, valósidejű adatközlésre vagy épp műtéti beavatkozásra alkalmas orvosi eszközök – továbbra is hibátlanul működnek. A napi üzleti tevékenység visszaállításának határideje azonban ismeretlen.
Miként hatoltak be?
A behatolás pontos módja nem ismert, de több forrás szerint a támadók a Microsoft Intune rendszerét használták – ez az a vállalati eszköz, amellyel IT-adminisztrátorok hatalmas gépparkokat tudnak távolról kezelni. Így az is lehetséges, hogy a támadók egy korábban feltört hitelesítő adatokkal jutottak be a Stryker felügyeleti felületére, és azon keresztül adtak ki törlési parancsokat. A Handala Hackhez köthető korábbi akciók során is gyakran saját fejlesztésű eszközök és kriminális alvállalkozók, illetve automatizált és manuális adatrombolási technikák keverékét vetették be.
Kik azok a Handala Hack?
A szervezet évek óta jelen van a kibertérben. Nevét egy politikai rajzfilmfiguráról, a palesztin ellenállás jelképéről kapta. Logója egy kisfiú alakját ábrázolja, aki a palesztin népet szimbolizálja. A Handala Hack szorosan kötődik Irán hírszerzési és biztonsági tárcájához, és többféle online személyiség mögé rejtőzve működik, így jóval nehezebb követni tevékenységét. Bár inkább a háttérből működnek, eddig számos pusztító adatromboló és propagandaakciót hajtottak végre.
Az incidenssel egy időben a Handala Hack a Telegram-csatornáján és saját oldalain vállalt felelősséget, és összekapcsolta a támadást egy amerikai Tomahawk-légicsapással, amelyben 165 civil halt meg Iránban, illetve más amerikai–izraeli, Irán elleni kiberakciókkal.
Miért támadnak cégeket válaszul katonai akciókra?
A geopolitikai összeütközések árnyékában ezek a kibertámadások főként pszichológiai jelentőségűek: a cégek megbénítása aránytalanul nagy média- és társadalmi visszhangot vált ki, miközben Irán számára kevés lehetőség adódik közvetlen katonai válaszlépésre. A célpontként kiválasztott Stryker – mint meghatározó egészségügyi beszállító – komoly stratégiai és szimbolikus jelentőséggel bír az Egyesült Államok és szövetségesei számára. A támadók a Handala Hack mögé bújva egyszerre folytatnak radikális, propalesztin lázadó szerepet, és hajtanak végre állami támogatású, nyugati szervezetek elleni pusztító kiberakciókat.
Összegzésként megjegyezhető, hogy a Stryker ellen irányuló támadás alaposan megmutatja: a kibertér az új hadszíntér, ahol a gazdasági és biztonságpolitikai érdekek mellett már az egészségügyi szektor is célkeresztbe került.
