Loading... # 亲伊朗黑客组织 Handala 声称对美国医疗科技巨头 Stryker 发起攻击 # 一、新闻概述 ## 1. 标题 亲伊朗黑客组织 Handala 声称对美国医疗科技巨头 Stryker 发起攻击 ## 2. 发布时间 2026 年 3 月 11 日 ## 3. 来源 KrebsOnSecurity # 二、核心内容 ## 1. 事件摘要 ### A. 主要内容 一个与伊朗情报机构有关的黑客激进组织声称对美国医疗科技公司 Stryker 发起了数据擦除攻击。该公司总部位于密歇根州,是一家全球医疗技术企业。 ### B. 核心亮点 - 黑客组织 Handala 声称抹去了超过 200,000 个系统、服务器和移动设备的数据 - Stryker 位于爱尔兰的最大海外中心超过 5,000 名员工被送回家 - 攻击者可能利用 Microsoft Intune 管理工具执行远程擦除 - 攻击已对美国医院的医疗供应链产生影响 ## 2. 关键信息 ### A. 受影响范围 - Stryker 在 79 个国家的办公室据称被迫关闭 - 爱尔兰总部超过 5,000 名员工受影响 - 超过 200,000 台设备被擦除数据 ### B. 攻击目标 - 公司名称:Stryker - 行业:医疗和外科设备制造商 - 规模:2025 年全球销售额达 250 亿美元,员工 56,000 人 ### C. 技术手段 - 使用 Microsoft Intune 云管理服务下发远程擦除命令 - 登录页面被篡改为 Handala 组织的标志 ## 3. 背景介绍 ### A. 攻击动机 Handala 组织在声明中称,此次攻击是对 2 月 28 日导弹袭击伊朗学校事件的报复。据《纽约时报》报道,美国被确认为这次造成至少 175 人死亡(大多数是儿童)的战斧导弹袭击的责任方。 ### B. 组织背景 Handala 组织于 2023 年底首次出现,与伊朗情报和国家安全部(MOIS)有关联。Palo Alto Networks 报告称,该组织是 MOIS 关联行动者 Void Manticore 维护的多个网络身份之一。 # 三、详细报道 ## 1. 主要内容 ### A. 攻击声明 Handala 在 Telegram 上发布的一份冗长声明中声称,已抹去 Stryker 全球网络中超过 200,000 个系统、服务器和移动设备的数据。声明中称:所有获取的数据现在掌握在世界自由人民手中,准备用于人类真正的进步和揭露不公正与腐败。 ### B. 攻击手法 根据知情人士透露,攻击者似乎使用了 Microsoft Intune 服务向所有连接设备下发远程擦除命令。Intune 是微软提供的基于云的解决方案,旨在帮助 IT 团队执行安全和数据合规策略,它提供了一个单一的基于 Web 的管理控制台来监控和控制无论位置在哪里的设备。 ### C. 攻击技术分析 攻击流程如下: ```mermaid graph TD A[Handala 黑客组织] -->|入侵获取| B[IT 管理权限] B -->|访问| C[Microsoft Intune 控制台] C -->|下发远程擦除命令| D[所有连接的设备] D --> D1[计算机系统] D --> D2[服务器] D --> D3[移动设备] D1 -->|数据被抹除| E[设备显示 Handala Logo] D2 -->|数据被抹除| E D3 -->|数据被抹除| E E --> F[业务全面中断] F --> F1[员工无法工作] F --> F2[医院供应链受阻] F --> F3[在线服务停摆] ```  这种攻击方式与传统恶意软件不同。传统的擦除器攻击通常涉及恶意软件设计,用于覆盖受感染设备上的任何现有数据。但这次案例中,攻击者利用合法的企业管理工具来执行恶意命令。 ## 2. 技术细节 ### A. 攻击手段特点 - 利用合法的 IT 管理平台:攻击者没有部署传统恶意软件,而是劫持了企业用来管理设备的 Microsoft Intune 平台 - 大规模远程擦除:通过统一的 Web 管理控制台,可以一次性向全球所有连接设备下发擦除命令 - 设备范围广泛:包括计算机系统、服务器和员工移动设备 ### B. 证据支持 Reddit 上关于 Stryker 停机的讨论中,几名自称是 Stryker 员工的用户表示,他们被告知紧急卸载 Intune。这支持了攻击者使用 Intune 执行远程擦除的判断。 ### C. 组织攻击模式 Palo Alto Networks 研究人员指出,Handala 的黑客和泄露活动主要集中在以色列,偶尔在服务于特定议程时在该范围之外进行攻击。近期观察到的活动是机会主义的快速而肮脏的攻击,明显专注于供应链入口(例如 IT 服务提供商)以到达下游受害者,随后发布证明帖子以放大可信度和恐吓目标。 ## 3. 数据与事实 ### A. 攻击规模 - 声称抹除系统数量:200,000+ - 受影响国家:79 个 - 受影响员工:仅爱尔兰就超过 5,000 人 ### B. 公司影响 - Stryker 密歇根总部语音信箱称:我们目前正在经历大楼紧急情况,请稍后再试 - 爱尔兰媒体报道:员工现在通过 WhatsApp 沟通以了解何时可以返回工作岗位 - 员工反馈:任何连接网络的设备都停机,所有带有 Microsoft Outlook 的个人手机设备都被擦除 ### C. 组织历史 Handala 组织此前还声称对以下攻击负责: - 约旦的燃料系统攻击 - 以色列能源勘探公司攻击 # 四、影响分析 ## 1. 行业影响 ### A. 医疗供应链风险 这是一次现实的供应链攻击。一位匿名专家指出,美国几乎所有进行手术的医院都使用他们的设备。当一家主要的医疗设备供应商受到攻击时,整个医疗系统都会受到影响。 ### B. 攻击模式演变 从针对特定政治目标的攻击,转向利用供应链的广泛报复性攻击。Palo Alto 指出,Handala 组织专注于供应链入口(如 IT 服务提供商)来攻击下游受害者。 ### C. 地缘政治风险 此次攻击展示了网络攻击如何被用作地缘政治报复的工具。攻击者明确将 Stryker 描述为锡安主义根植的公司,这可能指的是该公司 2019 年收购以色列公司 OrthoSpace 的历史。 ## 2. 用户影响 ### A. 医疗机构 美国一位主要大学医疗系统的医疗专业人员告诉 KrebsOnSecurity,他们目前无法订购通常通过 Stryker 获取的手术用品。这表明攻击已经开始影响医疗保健提供者。 ### B. 应急医疗服务 根据马里兰州紧急医疗服务系统研究所 3 月 11 日的备忘录,Stryker 表示部分计算机系统受到全球网络中断的影响。作为响应,许多医院选择断开与 Stryker 各种在线服务的连接,包括 LifeNet。 LifeNet 允许护理人员将心电图传输给急诊医生,以便心脏病患者在到达医院时能够加快治疗。为了应对此情况,马里兰州 EMS 医疗主任写道,如果你无法将 12 导联心电图传输到接收医院,应发起无线电咨询并描述心电图上的发现。 ### C. 供应商依赖风险 此次事件突显了医疗机构对少数主要供应商的依赖所带来的风险。当这些供应商的 IT 系统受到攻击时,可能会对下游医院的患者护理产生连锁反应。 ## 3. 技术趋势 ### A. 管理工具滥用趋势 攻击者利用合法的企业管理工具执行恶意操作的趋势正在上升。Microsoft Intune 等平台原本旨在帮助企业管理和保护设备,但如果凭证泄露,它们也可以成为攻击者大规模破坏的工具。 ### B. 攻击者的机会主义策略 Palo Alto 指出,近期观察到的活动是机会主义的快速而肮脏的攻击。攻击者专注于找到供应链中的薄弱环节,然后利用这些入口攻击下游目标。 # 五、各方反应 ## 1. 官方回应 ### A. Stryker 公司 截至报道时,Stryker 尚未发布正式声明,但通过语音信音告知总部大楼紧急情况,建议稍后再试。 ### B. 美国医院协会 美国医院协会(AHA)国家顾问 John Riggi 表示,AHA 目前未获悉任何供应链中断情况。Riggi 在一封电子邮件中说:我们意识到有关对 Stryker 进行网络攻击的报告,并正在与医院现场和联邦政府积极交换信息,以了解威胁的性质并评估对医院运营的任何影响。截至目前,我们未获悉此次攻击对美国医院造成的任何直接影响或中断。随着医院评估与 Stryker 相关的服务、技术和供应链,如果攻击持续时间延长,这种情况可能会发生变化。 ## 2. 业内评价 ### A. 网络安全专家 一位匿名专家指出,这是真实世界的供应链攻击,几乎所有在美国进行手术的医院都使用他们的设备。这表明此次攻击的严重性和广泛影响。 ### B. 安全研究机构 Palo Alto Networks 此前曾对 Handala 组织进行过分析,将其与伊朗情报机构联系起来。该组织主要针对以色列,偶尔服务于特定议程时会在范围之外进行攻击。 ## 3. 用户反馈 ### A. 员工反馈 多名 Stryker 员工在 Reddit 上讨论了此次攻击,透露公司要求他们紧急卸载 Intune。一些员工报告说,他们的个人手机上的 Microsoft Outlook 设备被擦除。 ### B. 医疗机构反应 一些医院已选择暂时断开与 Stryker 系统的连接,包括 LifeNet,作为预防措施。另一些医院则保持连接,但正在密切监控情况。 # 六、后续发展 ## 1. 持续影响 马里兰州 EMS 指示,如果无法传输 12 导联心电图,应改用无线电咨询。这表明医疗机构正在启动备用程序以维持紧急医疗服务。 ## 2. 供应链中断风险 虽然美国医院协会目前未报告直接供应链中断,但随着医院评估与 Stryker 相关的服务、技术和供应链,如果攻击持续时间延长,这种情况可能会发生变化。 ## 3. 攻击范围扩大可能性 Handala 组织将 Stryker 描述为锡安主义根植的公司,可能意味着该组织会继续针对与以色列有商业往来的公司进行攻击。 # 七、相关链接 ## 1. 官方公告 Stryker 尚未发布关于此次攻击的正式公告 ## 2. 相关报道 - Irish Examiner 关于 Stryker 爱尔兰员工被送回家的报道 - 《纽约时报》关于美国对伊朗学校导弹袭击事件的报道 ## 3. 技术文档 - Microsoft Intune 官方文档 - Palo Alto Networks 关于 Handala 组织的分析报告 *** ## 参考资料 1. [Iran-Backed Hackers Claim Wiper Attack on Medtech Firm Stryker](https://krebsonsecurity.com/2026/03/iran-backed-hackers-claim-wiper-attack-on-medtech-firm-stryker/) 最后修改:2026 年 03 月 13 日 © 允许规范转载 赞 如果觉得我的文章对你有用,请随意赞赏