Die Angreifer verzichteten vollständig auf Schadsoftware. Stattdessen verschafften sie sich Zugang zu Intune, einem legitimen Verwaltungssystem von Microsoft, mit dem Unternehmen sämtliche Geräte in ihrem Netzwerk steuern, und löschten darüber die Daten des Konzerns. Genau an diesem Punkt setzen die Empfehlungen von FBI und CISA an.
Die CISA rät Intune-Kunden, rollenbasierte Zugriffskontrollen einzusetzen und jeder Rolle nur die für den täglichen Betrieb minimal nötigen Berechtigungen zuzuweisen. Alle Konten sollten mit Mehr-Faktor-Authentifizierung und Microsoft Entra ID abgesichert werden, um unbefugten Zugriff auf privilegierte Aktionen in Intune zu blockieren.
Besonders hebt die Behörde hervor, dass für sensible oder folgenreiche Eingriffe ein Vier-Augen-Prinzip gelten sollte: “Richten Sie Richtlinien ein, die für Änderungen an sensiblen oder besonders folgenreichen Aktionen – etwa das Löschen von Geräten – die Freigabe durch ein zweites Administrationskonto verlangen”, so die CISA. Sie verwies zudem auf mehrere weitere Microsoft-Dokumente zu Sicherheitsfunktionen, mit denen sich Intune zusätzlich schützen lässt.
Hinter dem Angriff auf Stryker steht nach Angaben der Behörden eine Gruppe namens Handala. Sie löschte Tausende Geräte und sperrte Mitarbeiter aus kritischen Systemen aus, die daraufhin Mühe hatten, an Fabrikstandorten in den USA, Irland, Indien und anderen Ländern weiterzuarbeiten. Einige Beschäftigte beklagten in sozialen Netzwerken, sie hätten Intune auf privaten Geräten installiert gehabt, sodass auch ihre eigenen, nicht zum Unternehmen gehörenden Daten gelöscht worden seien.
Nach eigenen Angaben verstärkt die CISA derzeit die Abstimmung mit Partnern auf Bundesebene, darunter das FBI, um weitere Bedrohungen zu erkennen und Gegenmaßnahmen festzulegen.
In dieser Woche schalteten US-Behörden zudem eine mit Handala verbundene Website ab. Das FBI platzierte auf der Seite ein Banner mit dem Hinweis, es habe einen Beschlagnahmebeschluss erwirkt, nachdem festgestellt worden sei, dass die Website genutzt wurde, um schädliche Cyberaktivitäten im Auftrag oder in Abstimmung mit einem ausländischen staatlichen Akteur durchzuführen, zu erleichtern oder zu unterstützen. Zu diesen Aktivitäten könnten unbefugte Netzwerkeinbrüche, Angriffe auf Infrastruktur oder andere Verstöße gegen US-Recht zählen, schrieb das FBI. Die Übernahme der Website diene dazu, laufende schädliche Cyberoperationen zu stören und weitere Ausnutzung zu verhindern.
Die Maßnahme erfolgt, nachdem israelische Vertreter erklärt hatten, mehrere der iranischen Anführer hinter Handala seien kürzlich bei Luftangriffen getötet worden.
