美国医疗巨头史赛克近8万台设备所有数据被攻击者一键清空

前情回顾·美以伊战争网络态势

• 医疗设备巨头遭史诗级数据擦除：公司完全停摆、大量员工电脑手机被清空

• 伊朗境内遭遇大规模网络攻击，朝拜APP被篡改“呼吁投降”｜美以联合空袭伊朗

• 伊朗最高领袖之死幕后：首都摄像头、通信、基站长年被深度渗透控制

• 从“数字前哨”到“隐形眼线”：伊以网络攻防战揭示联网摄像头已成为战争新前线

安全内参3月18日消息，美国医疗设备巨头史赛克（Stryker）近期遭遇网络攻击，成千上万台公司设备中的全部信息被清除。目前已过去一周时间，该公司的电子订购系统仍未恢复运行。

这家《财富》500强公司生产多种产品，包括用于医院的数字工具、紧急医疗设备、手术用一次性产品，以及用于髋关节、膝关节和肩关节置换的植入物。

自3月11日起，史赛克一直在应对覆盖全公司的技术中断，这起事件已导致其在多个国家的工厂关闭及业务中断。

在3月15日下午发布的更新中，史赛克官员表示，在公司努力恢复电子订购系统的同时，销售代表将通过人工方式直接与客户协调补货事宜。

公司表示，在中断发生前下达的订单将在系统恢复后进行对账，而在中断期间提交的电子订单将在系统恢复上线、供应恢复正常后再行处理。

攻击者一键清除近8万台设备数据

史赛克上周表示，此次事件未涉及勒索软件或恶意软件。员工报告称，所有安装了微软Intune的设备均已被完全清除。史赛克通过微软端点管理云服务Intune来管理全部公司设备，网络安全专家指出，该平台允许具备管理员权限的人员对所有设备执行清除操作。

上周，思科Talos事件响应团队表示，基于在暗网上发现的数百条史赛克凭证泄露记录推断，此次攻击几乎可以确定是通过入侵高级管理员账号实施的。

微软检测与响应团队（DART）与派拓网络Unit 42的网络安全专家合作展开了此次调查。一位熟悉此次攻击的消息人士透露，攻击者通过史赛克Intune管理控制台的擦除命令，在3月11日UTC 5-8点之间清除了近8万台设备的数据。

攻击者在入侵一个管理员账号并创建新的全局管理员账号后实施了上述操作。这种利用现成工具的技术使攻击者能够造成大范围破坏和数据丢失，且无需使用传统的数据擦除型恶意软件。

伊朗相关威胁组织Handala已经认领了此次针对史赛克的攻击。该组织声明，之所以将史赛克作为目标，是因为该公司与美国国防部存在合作关系。史赛克尚未确认该事件是否已被正式归因于伊朗网络行为体。

医疗设备安全未受影响

史赛克官员多次向客户强调，旗下所有联网的数字产品均可在医疗机构中安全使用。公司在3月13日和15日发布的多份声明显示，已收到大量关于其在全球数百家医院部署的软件和硬件安全性的咨询。

史赛克表示，此次网络攻击被限制在公司内部的微软环境中，因此未对任何产品造成影响，无论这些产品是否联网。

公司已告知客户，其已按照既定流程确认联网产品未受到此次事件影响，且仍可安全使用。

史赛克还表示，其联网病床和担架未受影响，因为这些设备具备自身的安全协议，并且完全独立于史赛克网络运行。

此外，公司在医院网络中部署的数十种其他技术工具也未受到网络攻击影响，并已向客户作出确认。其中包括Vocera Voice免手持语音控制通信系统，以及用于病房的Care.ai传感器系统。

公司进一步说明，史赛克的手术可视化平台、内窥镜业务、手术海绵管理系统及其他产品在手术过程中仍可正常使用。

不仅如此，史赛克员工在医院及医疗机构现场开展工作是安全的，与公司员工通过电话或电子邮件沟通也不存在风险。

公司未公布系统恢复的具体时间表，仅表示当前正专注于恢复订单处理、发货以及客户支持相关平台。

参考资料：https://therecord.media/stryker-cyberattack-impact-iran

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。