3月11日,医疗科技巨头Stryker(史赛克)的员工们照常打开电脑,发现屏幕一片空白。不是系统更新,不是IT维护——是有人从千里之外按下了"删除"键,3万台手机、平板、电脑瞬间变砖。这家公司每年营收超200亿美元,卖给医院的手术设备和骨科植入物遍布全球,此刻却连内部邮件都发不出去。
动手的是个叫Handala的亲伊朗黑客组织。他们没要赎金,没偷病历,纯粹搞破坏。理由写得像抗议标语:报复美军空袭伊朗学校致死数十名儿童。FBI在周三查封了他们的网站,但设备已经凉了。
Intune:一把能开所有门的钥匙
这次攻击的入口是微软Intune(端点管理工具),企业IT部门用它远程管理员工设备——装软件、打补丁、必要时擦除数据。Handala黑进Stryker的Windows网络后,直接登上了Intune控制台,把"远程擦除"功能当成了大规模杀伤性武器。
CISA在周四的警告里打了个比方:管理员工设备的系统,应该像核导弹发射井一样设计——需要两把钥匙同时转动。具体来说,能执行"擦除设备"这种高危操作的账户,必须经第二管理员审批。Stryker显然没设这道坎,一个人就能一键清场。
这有点像小区物业掌握了所有住户的门锁密码。本意是方便维修,但密码一旦泄露,整栋楼随时被换锁。企业用Intune这类工具时,往往追求效率优先,审批流能省则省。Handala钻的就是这个空子。
没勒索,没 malware,就是纯搞心态
Stryker的声明值得玩味:黑客没部署恶意软件,没搞勒索软件,单纯"滥用访问权限"删数据。这种攻击比勒索更阴损——勒索至少留条谈判的缝,纯破坏是连锅端。Handala还声称偷了大量数据,但至今没亮证据,FBI已经抄了他们老家。
公司说医疗设备的临床功能正常运转,但供应链、订单、发货系统全趴窝。这意味着医院可能暂时订不到新的手术器械,但已经在用的不会突然停机。这种"半残"状态最折磨人:既不能算重大安全事故,又实实在在影响生意。
Stryker拒绝给恢复时间表,也不回应TechCrunch的询问。按行业惯例,这种规模的系统重建动辄数周,期间员工可能得用纸质流程干活——对一家卖数字化手术导航设备的公司来说,画面有点讽刺。
CISA的补丁:亡羊补牢,但羊已经跑了
CISA的紧急建议总结起来三条:给高危操作加双人审批、监控异常登录、定期审计权限。都是基础操作,但基础操作往往最先被牺牲。企业IT的KPI通常是"别出事"和"别烦我",多一道审批意味着多一层摩擦,员工投诉IT效率低时,安全团队很难硬气。
Handala这类组织近年活跃度和地缘政治绑定紧密。2023年以色列医院遭类似攻击,2024年美国水务公司被黑,手法相近:找管理工具的软肋,不搞复杂渗透,直接造成可见混乱。对他们来说,Stryker的供应链中断上了新闻,就是胜利。
有个细节:被擦除的设备包括员工个人手机。很多人习惯把私人设备连公司网络收邮件,这次连锅端。公司IT政策通常写"有权擦除",但真执行时,员工才发现同意书里的条款不是摆设。
Stryker的恢复还在进行。截至发稿,他们的订单系统仍显示"维护中"。一位安全研究员在社交媒体上评论:"当你卖给别人手术机器人时,最好确保自己的机器人先能开机。"
热门跟贴