Der Angriff auf Stryker wurde am 11. März bekannt, woraufhin sich die Gruppe Handala unmittelbar dazu bekannte. Handala wird als israelfeindliche Hacktivisten-Persona unter der Kontrolle des iranischen Geheimdienstministeriums MOIS eingeschätzt. Die Gruppe behauptete, mehr als 200.000 Geräte gelöscht und Stryker damit zur Schließung von Büros in Dutzenden Ländern gezwungen zu haben; außerdem habe sie eine erhebliche Datenmenge gestohlen.
Frühe Berichte gingen davon aus, dass bei dem Angriff Wiper-Malware zum Einsatz kam — eine Art Schadsoftware, für die Handala bekannt ist. Stryker erklärte jedoch, keine Belege für auf seinen Systemen ausgebrachte Malware gefunden zu haben. Nach einigen Berichten löschten die Angreifer Systeme stattdessen durch Missbrauch der Microsoft-Intune-Instanz von Stryker, die zur Fernverwaltung von Desktop- und Mobilgeräten sowie Anwendungen im Unternehmen dient.
Bleeping Computer berichtete in dieser Woche, dass die Angreifer ein Intune-Administratorkonto kompromittierten und ein neues globales Administratorkonto anlegten, über das sie die verwalteten Geräte löschten.
Alon Gal, CTO der Bedrohungsanalysefirma Hudson Rock, fand nun Hinweise darauf, dass die kompromittierten Zugangsdaten über Infostealer-Malware erbeutet worden sein könnten. Eine Auswertung von Infostealer-Logs ergab, dass Zugangsdaten für Stryker-Administratorkonten abgegriffen wurden — zusammen mit Dutzenden weiteren Zugangsdaten für Microsoft-Dienste und für Mobile-Device-Management (MDM) des Unternehmens.
„Handala ist wirklich nicht besonders raffiniert und hat für den Stryker-Angriff vermutlich einfach Infostealer-Logs genutzt“, schrieb Gal in einem Beitrag auf LinkedIn. „Die meisten dieser Zugangsdaten sind Monate, wenn nicht Jahre alt, was Stryker mehr als genug Zeit gegeben hätte, sie zurückzusetzen und den Angriff zu vermeiden“, fügte er hinzu.
Stryker zufolge betraf der Vorfall ausschließlich die Windows-Umgebung, führte aber zu Störungen bei Auftragsabwicklung, Fertigung und Versand. In seiner jüngsten Aktualisierung vom 15. März erklärte das Unternehmen, es stelle die betroffenen Systeme wieder her, mit Schwerpunkt auf jenen für Kunden, Bestellung und Versand. Alle Produkte seien sicher nutzbar, und die Präsenz von Vertriebsmitarbeitern in Krankenhäusern und Einrichtungen stelle kein Risiko dar.
Laut Nextgov/FCW haben die Cybersicherheitsbehörde CISA und das FBI im Zuge der Ermittlungen Kontakt zu Stryker-Führungskräften aufgenommen. Der Vorfall gilt als bislang bedeutendster Angriff dieser Art gegen die Vereinigten Staaten.
Handala ist seit Beginn des Konflikts besonders gegen Israel sehr aktiv und beansprucht Angriffe auf eine Vielzahl von Organisationen für sich, wobei diese Behauptungen oft nur schwer vollständig zu überprüfen sind. Forbes berichtete, dass zwei Anführer iranischer Cyberoperationen bei jüngsten Luftangriffen getötet wurden: Mohammad Mehdi Farhadi Ramin, der 2020 in den USA wegen seiner Rolle bei staatlich gesteuertem Hacking angeklagt wurde, sowie Yahya Hosseiny Panjaki, der die MOIS-Einheit zur Steuerung von Gruppen wie Handala leitete.
