Prvi put od početka rata hakerska grupa iz Irana izvela značajan napad protiv američke kompanije

Grupa hakera povezana s Iranom preuzela je odgovornost za cyber-napad na kompaniju Styker sa sjedištem u Michigenu iz oblasti medicinske tehnologije, što se čini kao prvi značajniji slučaj hakovanja američke kompanije od početka rata između ove dvije zemlje.

Historijski gledano, Iran je izvodio neke od najpoznatijih “wiper” sajber-napada na svoje nacionalne neprijatelje, s ciljem jednostavnog brisanja svih podataka na mrežama računara. Među žrtvama su Saudi Aramco, nacionalna naftna kompanija Saudijske Arabije, 2012. godine, i Sands Casino 2014.

Od početka rata, neke etablirane hakerske grupe simpatizerke iranskog rukovodstva preuzele su odgovornost za manje napade, ali većina je bila ograničena na kratkotrajno mijenjanje izgleda web stranica i nijedan nije imao značajniji uticaj.

Neke tehnološke i cyberbezbjednosne kompanije, uključujući Google i kompaniju za cyberbezbjednost elektronske pošte Proofpoint, rekli su za NBC News da su uglavnom primijetili da iranski hakeri sprovode špijunažu vezanu za rat.

Međutim, čini se da se situacija promijenila u srijedu, s napadom drugačijeg tipa koji je također obrisao podatke s uređaja.

Zaposlenik kompanije Stryker, koji je želio ostati anoniman jer nije ovlašten da govori u ime kompanije, rekao je da su službeni telefoni zaposlenika prestali raditi, paralizirajući rad i komunikaciju s kolegama. Grupa Handala Team, za koju bezbjednosne kompanije kažu da ima veze s iranskim Ministarstvom obavještajnih službi, preuzela je odgovornost za hakovanje Strykera putem svojih naloga na Telegramu i X-u. Grupa se rutinski hvali svojim uspjesima na društvenim mrežama, iako su u posljednjih nekoliko dana prethodni nalozi uklonjeni.

Detalji o načinu provođenja napada nisu jasni. No javno dostupni dokazi sugerišu da su hakeri najvjerovatnije dobili pristup kompanijskom Microsoft Intune nalogu, što je zaposlenik potvrdio da Stryker koristi. Iz toga, čini se da je Handala vratila neka od zaposleničkih uređaja na tvorničke postavke, rekao je stručnjak.

“Čini se da su dobili pristup Microsoft Intune konzoli za upravljanje. Ovo je rješenje za upravljanje korporativnim uređajima”, rekao je Rafe Pilling, direktor za prijetnje u cyberbezbjednosnoj kompaniji Sophos, koja je povezala Handala Team s iranskim obavještajnim operacijama.

“Jedna od funkcija je mogućnost daljinskog brisanja uređaja ako je izgubljen/ukraden itd. Izgleda da su to aktivirali za neke ili sve registrovane uređaje”, naveo je u pisanom odgovoru.

Microsoft opisuje funkciju daljinskog brisanja kao “češće korištenu kada uređaj treba biti povučen iz upotrebe, prepravljen, resetovan radi otklanjanja problema ili sigurno obrisan ako je izgubljen ili ukraden”.

U izjavi na svojoj web stranici u srijedu, Stryker je naveo da je prekid rada uzrokovan cyber-napadom, ali da njihovi sistemi nisu direktno hakovani i da ransomware, česta vrsta xyber-kriminala koja također može značajno poremetiti mreže kompanija, nije bio faktor.

“Stryker doživljava globalni prekid mreže u našem Microsoft okruženju kao rezultat cyber-napada. Nemamo indicija o ransomware-u ili malware-u i vjerujemo da je incident pod kontrolom”, stoji u izjavi.

Kompanija nije odgovorila na zahtjev za dodatnim detaljima. Microsoft također nije odgovorio na zahtjev za komentar.