Иран, вероятно, провел крупнейшую кибератаку против США в условиях нынешнего противостояния, и удар пришелся по Stryker, крупному американскому производителю медицинского оборудования. Компания с базой в Мичигане после взлома столкнулась с глобальными сбоями, а руководство распорядилось отключить от сетей около 56 тысяч сотрудников по всему миру.
По данным Stryker, атака затронула внутренние системы Microsoft, но не задела подключенные медицинские устройства. Часть больниц и служб экстренной помощи временно приостанавливала передачу данных через Lifenet, а сотрудники компании сообщали о проблемах в США, Ирландии и Австралии. Специалисты, изучающие инцидент, рассматривают версию с кражей учетных данных и возможным доступом к Microsoft Intune, через который злоумышленники могли стирать данные сразу на десятках тысяч устройств.
Ответственность взяла на себя группировка Handala, которую западные эксперты связывают с иранскими спецслужбами. В Telegram-канале хакеры назвали атаку местью за удар по школе в Иране, где, по версии местных государственных СМИ, погибли более 160 человек, включая детей. История со Stryker показала, что ближневосточное противостояние уже выходит далеко за пределы региона и бьет по американскому бизнесу через вполне реальные кибероперации.
Бывшие американские чиновники и специалисты по кибербезопасности считают взлом Stryker первым настолько крупным случаем, когда кибероружие встроили в более широкий военный кризис против США. Бывшая сотрудница ФБР по кибернаправлению Синтия Кайзер отметила, что нынешнее противостояние впервые настолько тесно связало цифровые и обычные боевые операции с обеих сторон. Американские власти уже признавали, что наступательные кибердействия вошли в первую волну ударов по Ирану в конце прошлого месяца.
На фоне неопределенности вокруг целей Вашингтона в конфликте с Ираном эксперты ждут новых атак на американские сети. Бывший директор CISA Джен Истерли заявила, что иранские структуры сохраняют серьезные возможности в киберпространстве, несмотря на военное давление. По оценке Истерли, под угрозой находятся не только объекты критической инфраструктуры вроде водоснабжения, энергетики и медицины, но и любой частный бизнес.
Западные спецслужбы давно считают Иран менее технологически изощренным соперником, чем Китай или Россия, но при этом более непредсказуемым. Иранские группы часто используют не самые сложные инструменты, а грубые и массовые методы вроде фишинга. Подобный подход не всегда приводил к заметным результатам, поэтому прежние предупреждения Вашингтона о возможном цифровом ответе Тегерана после военных ударов обычно не сопровождались действительно крупными сбоями. В случае со Stryker ситуация, похоже, изменилась.
Ответственность за атаку взяла на себя группировка Handala. Формально Handala выдает себя за независимых хактивистов, но западные эксперты и американские чиновники связывают группировку с иранским государством. Израильская компания Check Point в исследовании, опубликованном в четверг, назвала Handala структурой, связанной с Министерством разведки и безопасности Ирана, то есть с центральной разведслужбой страны. По словам представителей Check Point, Handala играет ключевую роль в наступательных кибероперациях ведомства и в последние месяцы расширила фокус с Израиля и стран Персидского залива на Европу и США.
Причину взлома Stryker пока официально не назвала. Следователи рассматривают версию с компрометацией учетных данных сотрудника или подрядчика, вероятно через фишинговую атаку. Такой доступ мог открыть злоумышленникам путь к Microsoft Intune, сервису удаленного управления устройствами. При захвате подобной панели атакующие получают возможность стирать данные сразу на тысячах ноутбуков и телефонов. По внутренним сообщениям компании, сотрудники обнаружили, что телефоны и ноутбуки под Windows были очищены. Сотрудникам также рекомендовали удалить приложения для управления мобильными устройствами и рабочие профили с телефонов.
Пока неясно, выбрали ли злоумышленники Stryker случайно или целенаправленно. В Telegram-канале Handala атаку назвали местью за удар по начальной школе в Иране, в результате которого, по версии иранских государственных СМИ, погибли более 160 человек, включая детей. Пентагон проверяет обстоятельства удара и, по данным The Wall Street Journal, допускает причастность США.
С начала нынешнего противостояния специалисты фиксировали и другие эпизоды предполагаемой иранской активности: атаки на государственные почтовые системы в Албании, попытку проникновения в исследовательскую ядерную организацию в Польше и операции в странах Персидского залива. Однако ни один из прошлых инцидентов, по оценке экспертов, не приблизился по масштабу и последствиям к истории со Stryker. Еще одна заметная перемена связана с тактикой самих группировок: иранские хакеры все чаще не только наносят ущерб, но и стараются публично усилить эффект угрозами и демонстративными заявлениями, чтобы давить на жертву и создавать чувство уязвимости у широкой аудитории.