Die als Handala bekannte iranische Hacktivisten-Gruppe hat sich in einer Telegram-Erklärung zu einem datenlöschenden Angriff auf den Medizintechnikkonzern Stryker bekannt. Nach eigenen Angaben löschte die Gruppe Daten von mehr als 200.000 Systemen, Servern und Mobilgeräten und zwang damit Stryker-Büros in 79 Ländern zur Schließung. “Alle erbeuteten Daten befinden sich nun in den Händen der freien Menschen der Welt, bereit, dem wahren Fortschritt der Menschheit und der Aufdeckung von Unrecht und Korruption zu dienen”, heißt es in einem Auszug der Erklärung.
Die Auswirkungen wurden zuerst in Irland sichtbar, Strykers größtem Standort außerhalb der USA. Dort schickte das Unternehmen nach Medienberichten mehr als 5.000 Beschäftigte nach Hause. Ein Anruf bei der Pressestelle der Michigan-Zentrale führte zu einer Voicemail-Ansage, die mitteilte: “Wir erleben derzeit einen Gebäudenotfall. Bitte versuchen Sie es später erneut.”
Laut einem Bericht des Irish Examiner verständigen sich Stryker-Mitarbeiter inzwischen über WhatsApp über eine mögliche Rückkehr an den Arbeitsplatz. Ein ungenannter Beschäftigter erklärte, alles mit dem Netzwerk Verbundene sei ausgefallen, und “bei allen, die Microsoft Outlook auf ihren privaten Telefonen hatten, wurden die Geräte gelöscht”. Mehrere Quellen berichteten dem Blatt zufolge, Systeme in der Zentrale in Cork seien abgeschaltet und von Beschäftigten gehaltene Stryker-Geräte gelöscht worden; auf den Anmeldeseiten dieser Geräte erscheine das Handala-Logo.
Wiper-Angriffe nutzen üblicherweise Schadsoftware, die vorhandene Daten überschreibt. Eine mit dem Vorgang vertraute Quelle, die anonym bleiben wollte, sagte KrebsOnSecurity jedoch, die Täter hätten in diesem Fall offenbar den Microsoft-Dienst Microsoft Intune verwendet, um per Fernbefehl alle verbundenen Geräte zu löschen. Intune ist eine cloudbasierte Lösung, mit der IT-Teams Sicherheits- und Compliance-Richtlinien durchsetzen und Geräte unabhängig vom Standort über eine zentrale Web-Konsole verwalten können. Gestützt wird diese Einschätzung durch eine Reddit-Diskussion zum Stryker-Ausfall, in der mehrere angebliche Mitarbeiter angaben, sie seien dringend zur Deinstallation von Intune aufgefordert worden.
Die Gruppe begründete den Angriff als Vergeltung für einen Raketenangriff, der eine iranische Schule traf und nach ihren Angaben mindestens 175 Menschen tötete, überwiegend Kinder. Die New York Times berichtet, eine laufende militärische Untersuchung habe die Vereinigten Staaten für den Tomahawk-Angriff verantwortlich gemacht.
Nach Darstellung von Palo Alto Networks tauchte Handala Ende 2023 auf und wird als eine von mehreren Online-Personas des MOIS-nahen Akteurs Void Manticore eingeschätzt. Die Aktivitäten der Gruppe richten sich überwiegend gegen Israel, mit gelegentlichen Zielen außerhalb dieses Rahmens. Handala beanspruchte demnach auch jüngste Angriffe auf Kraftstoffsysteme in Jordanien und auf ein israelisches Energieexplorationsunternehmen. Die Forscher beschreiben das Vorgehen als opportunistisch sowie “schnell und schmutzig”, mit erkennbarem Fokus auf Lieferketten-Zugänge über IT- und Dienstleister, um nachgelagerte Opfer zu erreichen, gefolgt von “Beweis”-Posts zur Steigerung der Glaubwürdigkeit. In ihrem Manifest bezeichnete Handala Stryker als “zionistisch verwurzelten Konzern” – möglicherweise ein Verweis auf die Übernahme der israelischen Firma OrthoSpace im Jahr 2019.
