Handala стёрла данные на устройствах Stryker без единой вредоносной программы. Хакеры захватили учётную запись администратора Microsoft Intune (облачная система управления корпоративными устройствами) и отправили команду массового сброса к заводским настройкам. В отдельных подразделениях стёрты данные на 95% ноутбуков и телефонов.
Через неделю после атаки 11 марта заказы, производство и отгрузка Stryker по-прежнему нарушены. Компания сообщила 17 марта, что восстановление «продвигается стабильно», но сроков не назвала.
Оружием стала сама система управления устройствами.
— Денис Калдероне (Denis Calderone), технический директор Suzu Labs
Stryker указала в форме 8-K для SEC, что «признаков программы-вымогателя и вредоносного ПО не обнаружено». Intune выполнил встроенную функцию удалённого сброса именно так, как она задумана. Только по команде злоумышленника.
Калдероне указал на конкретную встроенную функцию Microsoft Intune, которая могла предотвратить массовое стирание. Multi-Admin Approval (одобрение несколькими администраторами) требует подтверждения второго администратора перед сбросом или удалением устройства. Запрашивающий обязан указать причину. Утверждающий подписывает действие отдельно.
Если эта функция включена, одна скомпрометированная учётная запись не может массово стереть весь парк устройств.
— Денис Калдероне, технический директор Suzu Labs
Stryker не ответила на вопрос TechCrunch, была ли Multi-Admin Approval (одобрение несколькими администраторами) включена в момент инцидента. Компания не прокомментировала и наличие многофакторной аутентификации (MFA) на скомпрометированной учётной записи.
Palo Alto Networks Unit 42 предполагает, что начальным способом проникновения был фишинг. IBM X-Force отмечает, что Handala известна фишинговыми операциями против медицинских и энергетических компаний. Ещё одна возможная точка входа, программа-похититель паролей (инфостилер), которая тихо собирает пароли и маркеры сессий с заражённых машин.
Корк (Ирландия), крупнейший объект Stryker за пределами США (4 000 сотрудников), полностью прекратил работу. Персонал в США, Ирландии, Австралии, Коста-Рике и Индии получил указание отключиться от сетей. Сотрудникам велели удалить Intune Company Portal, Microsoft Teams и VPN с личных телефонов. Часть людей потеряла доступ к двухфакторной аутентификации и не могла войти ни в одну корпоративную систему.
Облачные продукты Stryker на архитектурно независимых площадках не пострадали. Vocera Ease (размещён на AWS), care.ai (Google Cloud Platform) и SurgiCount (изолированная среда без связи с внутренней инфраструктурой Microsoft) продолжали работать. Stryker подтвердила, что подключённые медицинские изделия «безопасны для использования».
Неизвестен срок восстановления не из-за серверов. Из-за заводов. Восстановить рабочие станции можно по плану. Восстановить производство, отгрузку и цепочку поставок в 61 стране — задача с зависимостями далеко за пределами ИТ.
— Коллин Хог-Спирс (Collin Hogue-Spears), старший директор по управлению решениями, Black Duck.
Stryker подала две формы 8-K в SEC (комиссия по ценным бумагам). Во второй, от 13 марта, компания указала, что «не определила, окажет ли инцидент существенное финансовое влияние». CISA (Агентство по кибербезопасности и защите инфраструктуры США) открыло расследование. Stryker обслуживает более 150 млн пациентов ежегодно.
Bloomberg назвал Stryker первой крупной жертвой кибератаки после ударов по Ирану.
Администраторам Intune и аналогичных MDM-систем (управление мобильными устройствами) стоит проверить функцию Multi-Admin Approval. Роли глобального администратора Intune стоит ограничить аварийными учётными записями. Условный доступ, требующий совместимого устройства и устойчивой к фишингу MFA, снижает риск подобного сценария.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
