美国网络安全与基础设施安全局于周四发布紧急警告,要求企业立即加强设备管理系统的安全防护。此次警告源于伊朗支持的黑客组织入侵全球医疗技术巨头 Stryker,并导致数千台员工设备数据被大规模擦除。该局确认黑客利用了对 Stryker Windows 网络的访问权限,滥用了端点管理系统,导致公司全球运营持续中断。根据该机构声明,此类事件表明企业必须重新评估其远程管理工具的访问控制。
根据 TechCrunch 报道,攻击者并未部署恶意软件或勒索软件,而是直接滥用了对 Stryker 内部系统的访问权限。黑客通过访问微软 Intune 仪表板,远程删除了连接在公司网络上的数万台设备上的存储数据。这一方法绕过了传统的恶意软件检测机制,使得攻击难以被常规安全软件识别。这些受影响的设备包括员工的手机、平板电脑以及个人电脑,造成了严重的数据丢失风险。
Stryker 在三月十一日确认了网络遭受入侵的事实,并表示正经历全球性网络中断。虽然公司的医疗设备本身仍保持正常运行,但供应链、订单处理和发货系统目前仍处于离线状态。该公司的内部通讯和外部物流协调均受到此次网络攻击的严重影响。该公司尚未公布系统恢复的具体时间表,且未回应媒体关于评论的请求。
CISA 在建议中明确指出,网络管理员应确保特定用户账户在进行高影响更改时需获得第二位管理员的批准。这些敏感操作包括擦除设备或修改系统配置,旨在防止单点故障导致的大规模灾难。这一措施要求企业重新审视其远程管理工具中的权限审批流程。其设计理念与多因素认证标准类似,增加了攻击者实施破坏的难度。
一个名为 Handala 的伊朗支持黑客团体上周承认对此次网络攻击负责。该组织声称此次行动是为了报复美国在伊朗学校空袭中造成数十名儿童死亡的事件。尽管黑客声称已从公司网络窃取了大量数据,但他们并未立即提供相关证据来证明这一说法。该团体的网站曾作为其发布声明和协调行动的主要平台。
美国联邦调查局于周三采取行动,据报道已查封了该黑客团体的官方网站。这一执法行动标志着当局针对此次网络攻击的响应升级,显示出对跨国网络威胁的持续关注。执法机构的介入可能为后续调查提供更多线索,并有助于追踪攻击者的资金来源。此举旨在切断该组织发布后续威胁或进行勒索的渠道。
此次事件突显了企业终端管理工具在供应链安全中的潜在脆弱性。微软 Intune 被广泛用于管理远程员工的设备,其安全性直接关系到企业的运营连续性。随着远程办公模式的普及,云基管理工具的使用量在近年来显著增加。此外,供应商与企业的连接接口往往成为攻击者渗透内部网络的首要目标。一旦此类核心管理系统被攻破,攻击者能够迅速影响成千上万台连接设备的状态。
安全专家强调,企业必须审查对第三方供应商和内部账户的访问控制措施。零信任架构的实施有助于减少此类风险,确保只有经过验证的用户才能访问关键资源。未来企业需将端点管理安全纳入核心防御策略,以避免类似事件再次发生。这要求企业在技术升级的同时,也要加强员工的安全意识培训。监管机构也可能针对关键基础设施保护引入更严格的要求。
