Nach dem derzeitigen Erkenntnisstand ist das wahrscheinlichste Szenario, dass die Angreifer Systeme löschten, indem sie Strykers Microsoft-Intune-Instanz missbrauchten. Dieser Dienst wird zur Fernverwaltung von Desktop- und Mobilgeräten sowie Anwendungen innerhalb der Organisation eingesetzt. Es gibt Anzeichen dafür, dass Handala dafür Zugangsdaten nutzte, die über Infostealer-Malware erlangt worden waren.
Erstmals veröffentlichte das Unternehmen technische Informationen aus der Untersuchung. “Früh in unserer Untersuchung gingen wir davon aus, dass es keine Hinweise auf Ransomware oder Malware gab”, erklärte Stryker. “Im weiteren Verlauf der Untersuchung stellten wir gemeinsam mit Palo Alto Networks Unit 42 und weiteren Experten fest, dass der Angreifer eine schädliche Datei nutzte, um Befehle auszuführen, mit denen er seine Aktivitäten in unseren Systemen verbergen konnte.”
Weiter hieß es, die Datei sei nicht in der Lage gewesen, sich zu verbreiten – weder innerhalb noch außerhalb der Umgebung. Vor allem habe die Untersuchung zu keinem Zeitpunkt schädliche Aktivitäten festgestellt, die sich gegen Kunden, Lieferanten, Anbieter oder Partner gerichtet hätten.
Auf Basis dieser knappen Beschreibung könnte es sich bei der genannten Datei eher um eine kleine, eigens erstellte Binärdatei oder ein Skript als um klassische Malware gehandelt haben. Dies zeigt jedoch, dass die Angreifer eigene Werkzeuge auf den kompromittierten Systemen einsetzten und sich nicht allein auf vorhandene Software stützten. Zusätzlich machte Stryker eine Bewertung von Palo Alto Networks öffentlich, die belegen soll, dass der Vorfall eingedämmt wurde.
Die US-Regierung hat Handala offiziell mit Irans MOIS in Verbindung gebracht und mehrere von der Gruppe genutzte Websites abgeschaltet. Darüber hinaus veröffentlichte das FBI eine Warnung mit Informationen zu Angriffen, die mutmaßlich von MOIS-Akteuren wie Handala ausgeführt wurden, einschließlich der eingesetzten Malware.
Laut FBI wurden die durch Ermittlungen erlangten Schadsoftware-Proben in drei Kategorien eingeteilt: tarnende Malware (Stufe 1), persistente Implantate (Stufe 2) sowie zugehörige Stufe-2-Malware mit zusätzlichen oder besonderen Funktionen. Die Stufe-1-Malware gab sich demnach üblicherweise als gängige Anwendungen wie Pictory, KeePass und Telegram aus und enthielt die Binärdateien für die nächste Stufe. Auf dieser Stufe richteten die iranischen MOIS-Akteure eine Befehls- und Kontrollinfrastruktur (C2) über einen Telegram-Bot ein, der eine wechselseitige Kommunikation zwischen dem kompromittierten Gerät und api.telegram[.]org ermöglichte.
Stryker bestätigte, dass es bei der Untersuchung mit US-Behörden zusammenarbeitet. Die in der FBI-Warnung beschriebene Malware steht jedoch vermutlich nicht im Zusammenhang mit dem Angriff auf das Medizintechnik-Unternehmen, sofern tatsächlich keine Malware beteiligt war.
