Ai, cái gì và tại sao của cuộc tấn công đã đóng cửa mạng Windows của Stryker

Trong vòng vài giờ sau khi Mỹ và Israel tiến hành các cuộc không kích vào Iran hai tuần trước, các chuyên gia an ninh đã cảnh báo các tổ chức trên khắp thế giới phải cảnh giác cao độ về các vụ hack trả đũa mang tính hủy diệt. Hôm thứ Tư, những dự đoán dường như đã trở thành sự thật khi Stryker, một nhà sản xuất thiết bị y tế đa quốc gia, xác nhận một cuộc tấn công mạng đã đánh sập phần lớn cơ sở hạ tầng của họ và một nhóm hack từ lâu được biết là có liên kết với chính phủ Iran đã nhận trách nhiệm.

Nơi mọi thứ đứng

Cuộc tấn công xảy ra khi nào và như thế nào?

Dấu hiệu đầu tiên là các bài đăng trên mạng xã hội và báo cáo từ một tổ chức tin tức ở Ireland. Tin nhắn được đăng bởi các nhân viên có mục đích của Stryker hoặc thành viên gia đình của họ trên xã hội truyền thông cho biết điện thoại và máy tính của Workers’ đã bị xóa sạch. MỘT báo cáo tờ Irish Examiner xuất bản vào sáng thứ Tư, trích dẫn nhiều nguồn tin ẩn danh, đưa ra tuyên bố tương tự và cho biết một số nhân viên đã chứng kiến các trang đăng nhập trên các thiết bị bị xóa hiển thị logo của Handala Hack, một nhóm mà các nhà nghiên cứu đã theo dõi nó trong nhiều năm cho biết có liên kết với chính phủ Iran.

Hiện tại là tình trạng gì?

Stryker cho biết hôm thứ Năm rằng nó đang trong quá trình ứng phó với sự gián đoạn mạng toàn cầu “đối với môi trường Microsoft của chúng tôi do một cuộc tấn công mạng.” Bản cập nhật tiếp tục cho biết những người trả lời không có dấu hiệu nào cho thấy ransomware hoặc phần mềm độc hại— có liên quan đến những nguyên nhân thông thường dẫn đến tình trạng ngừng hoạt động như vậy. Những người phản hồi tin rằng sự cố hiện đã được ngăn chặn và giới hạn trong môi trường nội bộ của Microsoft.

Công ty đã nói rằng các thiết bị Lifepak, Lifenet và Mako— mà các chuyên gia y tế sử dụng để theo dõi và kiểm soát các cơn đau tim, quản lý và truyền thông tin bệnh nhân trong thời gian thực cũng như thực hiện các ca phẫu thuật— đều hoạt động bình thường. Trong một Ủy ban Chứng khoán và Giao dịch nộp đơn hôm thứ Tư, Stryker cho biết họ không có mốc thời gian để phục hồi các hoạt động bình thường hàng ngày.

Mạng lưới của Stryker bị xâm phạm ngay từ đầu như thế nào?

Thông tin đó vẫn chưa được biết đến công khai. Điều đó khiến người ngoài đưa ra những phỏng đoán có căn cứ. Các tin tặc được Iran tài trợ có một lịch sử lâu dài về việc sử dụng phần mềm độc hại gạt nước để phá hủy vĩnh viễn dữ liệu và ổ cứng lưu trữ dữ liệu đó. Shamoon, một kẻ gạt nước nhắm vào Saudi Aramco, nhà xuất khẩu dầu thô lớn nhất thế giới vào năm 2012 và lại đánh Các tổ chức Ả Rập Saudi bốn năm sau, đã được liên kết với Iran, mặc dù không thuyết phục. Năm 2019, các nhà nghiên cứu đã báo cáo việc phát hiện ra một chiếc cần gạt nước mới được mệnh danh là ZeroCleare, điều đó cũng có liên quan đến Iran.

Có nhiều lý do để tin rằng cuộc tấn công chống lại Stryker có thể không phù hợp với mô hình chính xác này. Đầu tiên, Stryker đã nói rằng họ vẫn chưa tìm thấy bằng chứng về phần mềm độc hại. Và mặt khác, một số bài đăng trên mạng xã hội— và một nguồn giấu tên được trích dẫn trong báo cáo này từ KrebsOnSecurity—cho biết việc xóa dữ liệu được thực hiện bằng InTune, một công cụ do Microsoft sản xuất cho phép quản trị viên điều khiển từ xa các nhóm máy lớn từ một giao diện duy nhất.

Hơn thế nữa, công ty bảo mật Check Point nói rằng “Void Manticore đó,” tên theo dõi nội bộ của Handala Hack, trước đây đã sử dụng cả các công cụ được xây dựng tùy chỉnh và có sẵn công khai cũng như các kỹ thuật thực hành thủ công để xóa dữ liệu. Các nhà nghiên cứu của công ty cũng cho biết nhóm này thường dựa vào các dịch vụ tội phạm ngầm để có được quyền truy cập ban đầu vào các mục tiêu, một phương tiện có thể đã được sử dụng để chống lại Stryker.

Kết hợp lại với nhau, những cân nhắc này có thể chỉ ra rằng các tác nhân đe dọa đã truy cập giao diện InTune của Stryker thông qua một nhà môi giới truy cập hoặc các phương tiện khác và sử dụng công cụ này để đưa ra các lệnh xóa trong toàn bộ mạng Windows của công ty.