Eine mit dem iranischen Geheimdienst verbundene Hacktivist-Gruppe hat einen massiven Datenlösch-Angriff auf Stryker durchgeführt, einen weltweit führenden Medizintechnik-Konzern mit Hauptsitz in Michigan. Nach Berichten aus Irland, wo sich Stykers größtes Büro außerhalb der USA befindet, wurden mehr als 5.000 Mitarbeiter nach Hause geschickt. Auch am US-Hauptquartier bestätigt eine Sprachnachricht ein aktuelles Notfall-Szenario.
In einer ausführlichen Stellungnahme auf Telegram erklärte die iranische Hacktivist-Gruppe Handala (auch bekannt als Handala Hack Team), dass die Stryker-Büros in 79 Ländern nach dem Löschen von Daten aus mehr als 200.000 Systemen, Servern und Mobilgeräten geschlossen werden mussten.
“Alle gewonnenen Daten befinden sich nun in den Händen der freien Menschen der Welt, bereit, zur wahren Förderung der Menschheit und zur Aufdeckung von Ungerechtigkeit und Korruption genutzt zu werden”, heißt es in der Handala-Erklärung.
Die Gruppe begründete den Angriff mit Vergeltung für einen Raketenschlag vom 28. Februar, der eine iranische Schule traf und mindestens 175 Menschen, überwiegend Kinder, tötete. Die New York Times berichtet, dass eine laufende militärische Untersuchung die USA als verantwortlich für den tödlichen Tomahawk-Raketenangriff identifiziert hat.
Handala wurde von Palo Alto Networks kürzlich als eine von mehreren mit dem Iran verbundenen Hacker-Gruppen analysiert. Das Sicherheitsunternehmen ordnet sie dem iranischen Geheimdienst MOIS (Ministry of Intelligence and Security) zu und vermutet, dass Handala seit Ende 2023 als eines mehrerer Online-Pseudonyme von Void Manticore, einem MOIS-Akteur, fungiert.
Stryker beschäftigt nach eigenen Angaben 56.000 Mitarbeiter in 61 Ländern. Ein Anruf an die Pressestelle in Michigan erreichte zunächst nur eine Sprachnachricht mit dem Hinweis auf einen aktuellen Notfall.
Berichte vom irischen Examiner zeigen das Ausmaß der Störungen: Stryker-Mitarbeiter kommunizieren nun über WhatsApp, um Informationen zur Rückkehr zu erhalten. Ein anonymer Mitarbeiter berichtete, dass alle mit dem Netzwerk verbundenen Systeme ausgefallen sind und dass “Geräte mit Microsoft Outlook auf persönlichen Telefonen gelöscht wurden”.
“Mehrere Quellen bestätigen, dass die Systeme in der Cork-Zentrale heruntergefahren wurden und dass Stryker-Geräte der Mitarbeiter vollständig gelöscht wurden”, so der Examiner. “Die Login-Seiten auf diesen Geräten zeigen das Handala-Logo.”
Obwohl Wiper-Angriffe typischerweise Malware einsetzen, um Daten zu überschreiben, deutet eine informierte Quelle darauf hin, dass die Angreifer in diesem Fall das Cloud-Verwaltungstool Microsoft Intune missbraucht haben. Sie nutzten den Dienst, um einen Fernlösch-Befehl an alle verbundenen Geräte auszuführen. Diese Theorie wird durch Reddit-Diskussionen gestützt, in denen mehrere Nutzer angeben, Stryker-Mitarbeiter zu sein, und berichten, dass ihnen eine sofortige Deinstallation von Intune empfohlen wurde.
Palo Alto Networks zufolge konzentriert sich Handala hauptsächlich auf Ziele in Israel, erweitert aber gelegentlich das Zielspektrum, wenn es einem bestimmten Zweck dient. Die Gruppe übernahm auch die Verantwortung für jüngste Angriffe auf Treibstoffsysteme in Jordanien und ein israelisches Energieexplorationsunternehmen.
“Die jüngsten Aktivitäten sind opportunistisch und ‘schnell und schmutzig’ mit deutlichem Fokus auf Supply-Chain-Zugriffe über IT- und Serviceanbieter, um nachgelagerte Ziele zu erreichen, gefolgt von ‘Beweis’-Posts zur Glaubwürdigkeitssteigerung und Einschüchterung”, erklären Palo-Alto-Forscher.
Das Handala-Manifest bezeichnete Stryker als eine “zionistisch verwurzelte Gesellschaft” — möglicherweise eine Anspielung auf Stykers Übernahme des israelischen Unternehmens OrthoSpace im Jahr 2019.
Dies ist eine sich entwickelnde Meldung. Aktualisierungen werden mit Zeitstempel gekennzeichnet.