Хактивистская группа, имеющая, по оценкам экспертов, связи с иранскими спецслужбами, взяла на себя ответственность за масштабную кибератаку типа «вайпер» (уничтожитель данных) против компании Stryker, ведущего мирового производителя медицинского оборудования из Мичигана. Атака вызвала серьезные операционные сбои: сообщения из Ирландии — крупнейшего операционного центра Stryker за пределами США — указывают на то, что компания отправила по домам более 5000 сотрудников. Кроме того, автоответчик в главном офисе компании в США подтвердил, что там происходит «чрезвычайная ситуация в здании» — термин, часто используемый во время крупных ИТ-сбоев. Этот инцидент подчеркивает серьезные реальные последствия, когда критическая инфраструктура, даже в сфере здравоохранения, становится целью сложных угроз, связанных с государственными структурами.
В подробном заявлении, опубликованном в Telegram, группа, известная как Handala (или Handala Hack Team), утверждает, что ей удалось стереть данные с более чем 200 000 систем, серверов и мобильных устройств, что вынудило закрыть офисы Stryker в 79 странах. Stryker, компания из списка Fortune 500 [NYSE:SYK], специализирующаяся на медицинском и хирургическом оборудовании с годовым объемом продаж в 25 миллиардов долларов, еще не выпустила официального публичного заявления, подтверждающего масштабы инцидента. Манифест Handala представил атаку как акт цифрового возмездия, прямо связав ее с ракетным ударом 28 февраля по иранской школе, в результате которого погибло не менее 175 человек, в основном дети. Группа заявила: «Все полученные данные теперь находятся в руках свободных людей мира, готовых к использованию для истинного прогресса человечества и разоблачения несправедливости и коррупции», хотя основным заявленным воздействием является уничтожение данных, а не их кража.
Атрибуция этой атаки имеет значительный вес благодаря предыдущему анализу кибербезопасности. Группа Handala недавно была описана аналитиками угроз Unit 42 компании Palo Alto Networks, которые оценивают ее как онлайн-персону, управляемую Void Manticore, киберугрозой, связанной с Министерством разведки и безопасности Ирана (MOIS). Эта связь позволяет предположить, что атака является частью более широкой модели киберактивности, связанной с иранским государством, которая все чаще использует хактивистские персонажи для проведения разрушительных операций, сохраняя при этом правдоподобное отрицание. Нацеливание на крупную западную медицинскую компанию представляет собой заметную эскалацию, выходящую за рамки традиционного шпионажа или финансово мотивированных преступлений к разрушительным атакам, которые могут повлиять на глобальные цепочки поставок в здравоохранении и уход за пациентами.
Инцидент со Stryker служит важным примером для сообщества кибербезопасности и корпоративных лидеров. Он подчеркивает уязвимость даже хорошо финансируемых транснациональных корпораций перед разрушительным вредоносным ПО-уничтожителем, которое предназначено для вывода систем из строя путем удаления критических данных. Для сектора здравоохранения и наук о жизни, который уже является высокоценной целью для вымогателей, эта атака представляет собой более опасный вектор угроз, ориентированный на чистое нарушение работы и геополитический сигналинг. Организации теперь должны уделять приоритетное внимание не только защите данных и устойчивости к вымогательскому ПО, но и созданию надежных изолированных резервных копий и протоколов быстрого восстановления, чтобы противостоять разрушительным атакам, поддерживаемым государством. Это событие является суровым напоминанием о том, что в современных геополитических конфликтах кибероперации являются основным инструментом, и ни одна отрасль не считается запретной.
