伊朗支持的黑客声称对医疗科技公司Stryker发动擦除攻击

<p>一个与伊朗情报机构有联系的黑客组织声称对总部位于密歇根州的全球医疗科技公司<strong>Stryker</strong>发动了数据擦除攻击。来自爱尔兰（Stryker在美国以外最大的枢纽）的新闻报道称，该公司今天让当地5000多名员工回家。与此同时，Stryker美国总部的一条语音留言表示，公司目前正经历一起建筑紧急事件。</p> <p>总部位于密歇根州卡拉马祖的Stryker [NYSE:SYK] 是一家医疗和手术设备制造商，去年全球销售额达250亿美元。在Telegram上发布的一份长篇声明中，名为<strong>Handala</strong>（又称Handala Hack Team）的黑客组织声称，在擦除了超过20万台系统、服务器和移动设备上的数据后，Stryker在79个国家的办事处被迫关闭。</p> <div id="attachment_73319" style="width: 764px" class="wp-caption aligncenter"><img aria-describedby="caption-attachment-73319" decoding="async" loading="lazy" class="size-full wp-image-73319" src="https://krebsonsecurity.com/wp-content/uploads/2026/03/handala-stryker.png" alt="伊朗支持的黑客组织Handala发布的宣言，声称对医疗技术制造商Stryker发动大规模数据擦除攻击。" width="754" height="827" /><p id="caption-attachment-73319" class="wp-caption-text">伊朗支持的黑客组织Handala发布的宣言，声称对医疗技术制造商Stryker发动大规模数据擦除攻击。</p></div> <p>“所有获取的数据现在都已掌握在全世界自由人民的手中，随时可用于真正推动人类进步、揭露不公与腐败，”Handala声明的一部分写道。</p> <p>该组织表示，此次擦除攻击是为了报复2月28日一枚导弹击中伊朗一所学校、造成至少175人死亡（其中大部分是儿童）的事件。<strong>《纽约时报》</strong><a href="https://www.nytimes.com/2026/03/11/us/politics/iran-school-missile-strike.html" target="_blank" rel="noopener">报道</a>称，一项持续的军事调查已确定美国应对这起致命的战斧导弹袭击负责。</p> <p>Handala是最近被<strong>Palo Alto Networks</strong><a href="https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/" target="_blank" rel="noopener">介绍</a>的多个黑客组织之一，该安全公司将其与伊朗的<strong>情报与安全部</strong>（MOIS）联系起来。Palo Alto表示，Handala于2023年底出现，被认为是<a href="https://malpedia.caad.fkie.fraunhofer.de/actor/void_manticore" target="_blank" rel="noopener">Void Manticore</a>（一个与MOIS有关联的行为者）维护的多个在线身份之一。</p> <p>Stryker的网站显示，该公司在61个国家拥有56,000名员工。周三上午致电Stryker密歇根总部媒体热线时，作者听到一条语音留言，内容为：“我们目前正经历一起建筑紧急事件。请稍后再拨。”</p> <p><strong>《爱尔兰审查员》</strong>周三上午的一篇<a href="https://www.irishexaminer.com/news/munster/arid-41808308.html" target="_blank" rel="noopener">报道</a>称，Stryker员工现在通过WhatsApp沟通何时能返回工作岗位。该报道引用了一位匿名员工的话，称所有与网络连接的设备都已瘫痪，而且“任何个人手机上装有Microsoft Outlook的人都发现设备被擦除了”。</p> <p>“多位消息人士表示，科克总部的系统已被‘关闭’，员工持有的Stryker设备已被擦除，”《审查员》报道称。“这些设备上出现的登录页面已被涂改，显示Handala的标识。”<span id="more-73316"></span></p> <p>擦除攻击通常涉及旨在覆盖受感染设备上所有现有数据的恶意软件。但一位了解此次攻击、要求匿名的可靠消息人士告诉KrebsOnSecurity，此案的攻击者似乎使用了名为<strong>Microsoft Intune</strong>的微软服务，向所有连接设备发出“远程擦除”命令。</p> <p>Intune是一款为IT团队构建的基于云的解决方案，用于强制执行安全和数据合规策略，并提供一个统一的基于Web的管理控制台来监控和控制设备，无论其位置如何。Intune的关联得到了关于Stryker中断的<a href="https://www.reddit.com/r/cybersecurity/comments/1rqopq0/stryker_hit_by_handala_intune_managed_devices/" target="_blank" rel="noopener">Reddit讨论</a>的支持，其中几位自称是Stryker员工的用户表示，他们被告知要紧急卸载Intune。</p> <p>Palo Alto表示，Handala的黑客和泄露活动主要针对以色列，偶尔也会根据特定议程针对该范围之外的目标。该安全公司称，Handala还声称对最近针对约旦燃料系统和一家以色列能源勘探公司的攻击负责。</p> <p>“最近观察到的活动是机会主义的，‘快速而粗糙’，明显侧重于供应链立足点（例如，IT/服务提供商）以触及下游受害者，随后发布‘证据’帖子以增强可信度并恐吓目标，”Palo Alto研究人员写道。</p> <p>Handala在Telegram上发布的宣言将Stryker称为“犹太复国主义根源的公司”，这可能是指该公司2019年收购以色列公司OrthoSpace一事。</p> <p>Stryker是医疗设备的主要供应商，持续的攻击已经影响到医疗保健提供者。美国一家大型大学医疗系统的医疗保健专业人员告诉KrebsOnSecurity，他们目前无法订购通常通过Stryker采购的手术用品。</p> <p>“这是一次真实的供应链攻击，”这位专家表示，他要求匿名，因为他未获授权向媒体发言。“几乎所有进行手术的美国医院都使用他们的用品。”</p> <p><strong>美国医院协会</strong>（AHA）的国家顾问<strong>John Riggi</strong>表示，AHA目前尚未发现任何供应链中断。</p> <p>“我们已知晓关于针对Stryker的网络攻击的报道，并正在积极与医院领域和联邦政府交换信息，以了解威胁的性质并评估对医院运营的任何影响，”Riggi在一封电子邮件中说。“截至目前，我们尚未发现此次攻击对美国医院造成任何直接影响或中断。随着医院评估与Stryker相关的服务、技术和供应链，以及如果攻击持续时间延长，情况可能会发生变化。”</p> <p>根据马里兰州紧急医疗服务系统研究所3月11日的备忘录，Stryker表示其部分计算机系统受到了“全球网络中断”的影响。该备忘录指出，为应对此次攻击，一些医院选择断开与Stryker各项在线服务的连接，包括<strong>LifeNet</strong>——该服务允许护理人员向急诊医生传输心电图，以便心脏病患者在到达医院时能加快治疗。</p> <p>“作为预防措施，一些医院已暂时中止与Stryker系统（包括LIFENET）的连接，而其他医院则维持了连接，”该州EMS医疗主任Timothy Chizmar写道。“T</p>