HackerangriffeSchwachstellenCyberkriminalität

Stryker-Angriff: Iranische Hacker nutzten gestohlene Zugangsdaten aus Infostealer-Malware

Stryker-Angriff: Iranische Hacker nutzten gestohlene Zugangsdaten aus Infostealer-Malware
Zusammenfassung

Der Medizintechnik-Konzern Stryker ist Opfer eines groß angelegten Cyberangriffs der iranischen Hacker-Gruppe Handala geworden, die der Regierung in Teheran zugeordnet wird. Der Angriff, der Mitte März bekannt wurde, führte zur Abschaltung von Büros weltweit und beeinträchtigte erheblich die Produktion und den Versand von Operationsausrüstungen und orthopädischen Implantaten. Aktuelle Ermittlungen deuten darauf hin, dass die Angreifer nicht wie zunächst vermutet Wiper-Malware einsetzten, sondern über Infostealer-Malware gestohlene Administratoranmeldedaten nutzten, um Zugriff auf Microsofts Intune-Plattform zu erlangen. Von dort aus erstellten sie einen neuen globalen Admin-Account und löschten mehr als 200.000 Geräte. Für deutsche Unternehmen und Behörden ist dieses Vorgehen besonders relevant, da es zeigt, wie gezielt iranische Hacker-Gruppen Anmeldedaten aus öffentlich zugänglichen Infostealer-Datenbanken für Angriffe nutzen. Deutsche Organisationen sollten verstärkt ihre Administratoranmeldedaten überwachen, gestohlene Credentials priorisieren und Multi-Faktor-Authentifizierung konsequent implementieren, um ähnliche Angriffe abzuwehren.

Der Angriff auf Stryker, einen der weltweit führenden Hersteller von Operationsausrüstung und orthopädischen Implantaten, offenbart ein besorgniserregendes Sicherheitsszenario: Die iranische Hackergruppe Handala soll nicht durch sophistizierte Wiper-Malware in das System eingedrungen sein, sondern schlicht über kompromittierte Administrator-Zugangsdaten, die vermutlich durch alltägliche Infostealer-Malware erbeutet wurden.

Alon Gal, Chief Technology Officer des Cybersecurity-Unternehmens Hudson Rock, hat in einer Analyse von Infostealer-Logs Beweise gefunden, dass Zugangsdaten für Stryker-Administrator-Konten sowie dutzende andere Microsoft-Service-Credentials und MDM-Credentials (Mobile Device Management) abgegriffen wurden. “Handala ist wirklich nicht sehr sophistiziert und hat die Zugangsdaten wahrscheinlich einfach aus Infostealer-Logs für den Stryker-Angriff genutzt”, erklärte Gal in einem LinkedIn-Post. Besonders brisant: Viele dieser Anmeldedaten waren Monate oder sogar Jahre alt – Stryker hätte also ausreichend Zeit gehabt, diese zurückzusetzen und den Angriff zu verhindern.

Die Angreifer nutzten ein kompromittiertes Intune-Administrator-Konto, um ein neues globales Admin-Konto zu erstellen. Microsoft Intune ist Strykers Remote-Management-Lösung für Desktop- und Mobile-Endpoints. Mit dieser Kontrolle konnten die Hacker schließlich verwaltete Geräte löschen und so die behauptete Vernichtung von über 200.000 Geräten durchführen.

Stryker bestätigte, dass nur seine Windows-Umgebung betroffen war, räumte aber ein, dass der Vorfall zu Störungen bei der Auftragsbearbeitung, der Fertigung und dem Versand geführt hat. Das Unternehmen betonte jedoch, dass alle Produkte sicher sind. CISA und FBI sind in die Untersuchung eingebunden.

Dieser Fall illustriert ein grundlegendes Sicherheitsproblem: Großkonzerne lagern oft kritische Zugangsdaten unzureichend geschützt, wo sie durch einfache Malware abgegriffen werden können. Die Handala-Gruppe, die dem iranischen Geheimdienst MOIS zugerechnet wird, hat sich verstärkt seit Beginn des Nahost-Konflikts an Angriffen beteiligt. Doch während frühere Forderungen zu überprüfen waren, zeigt dieser Vorfall, dass selbst führende Medizintechnik-Unternehmen gravierende Sicherheitsmängel aufweisen können – mit globalen Konsequenzen für Patienten und Krankenhäuser.

Ähnliche Artikel