伊朗黑客组织 Handala 近日宣布对全球医疗器械巨头 Stryker(史赛克)发动网络攻击,导致该公司遍布 79 个国家的办公室被迫关闭。此次攻击事件引发了医疗行业对网络安全的高度警惕,凸显了关键基础设施在网络战面前的脆弱性。
Stryker 是全球领先的医疗器械和医疗设备制造商,业务覆盖骨科、内科、外科等多个领域,年收入超过 200 亿美元。公司在全球拥有超过 40,000 名员工,业务网络遍及六大洲。此次攻击导致其全球办公网络瘫痪,对公司运营造成了严重影响。
攻击事件回顾
据安全研究人员确认,Handala 组织此次攻击采用了多阶段入侵策略:
第一阶段:供应链渗透。 攻击者首先通过钓鱼攻击入侵了 Stryker 某家第三方 IT 服务提供商,获取了该公司企业网络的初始访问权限。
第二阶段:横向移动。 利用窃取的凭证,攻击者在 Stryker 的内部网络中进行了长达数周的横向移动,访问了包括研发、运营和财务在内的多个关键业务系统。
第三阶段:数据窃取与加密。 在完成情报收集后,攻击者部署了定制化勒索软件,对核心系统文件进行了加密,同时外传了大量敏感数据。
第四阶段:宣战与勒索。 Handala 在其 Telegram 频道上高调宣布对此次攻击负责,并向 Stryker 发出勒索信息,要求支付高额赎金以换取解密密钥和不泄露被盗数据的承诺。
Handala 组织背景
Handala 是一个于 2022 年成立的伊朗黑客组织,其名称来源于一位在两伊战争中阵亡的伊朗少年。该组织以”正义执行者”自居,主要针对其认定的”反伊朗”目标发动网络攻击。
Handala 的攻击历史显示,该组织对医疗和生命科学领域有着特别的”兴趣”:
- 2023年:攻击以色列最大医疗保险公司 Clalit,泄露数百万患者数据
- 2024年:入侵美国连锁药店 Walgreens,窃取处方信息
- 2025年:对法国制药公司 Sanofi 发动勒索攻击
- 2026年:攻击医疗器械巨头 Medtronic 未遂
安全研究人员指出,Handala 的攻击动机兼具政治性和经济性:一方面通过攻击西方企业表达政治立场,另一方面通过勒索攻击获取经济利益。
79 国办公室关闭的影响
Stryker 在全球 79 个国家设有办事处和分支机构。此次攻击导致公司不得不紧急关闭全球所有办公地点的网络连接,以遏制攻击蔓延。
受影响的业务领域包括:
- 客户服务:全球呼叫中心系统瘫痪,患者服务热线中断
- 生产制造:部分工厂的自动化控制系统受影响,产能暂时下降
- 设备维护:医院内 Stryker 设备的远程监控和维护服务暂停
- 订单处理:ERP 系统下线,经销商订单处理延迟
据知情人士透露,Stryker 正在与多家网络安全公司和联邦执法机构合作,试图恢复系统并追踪攻击者身份。预计完全恢复运营可能需要数周时间。
医疗行业网络安全警示
此次攻击再次暴露了医疗行业在网络安全方面的系统性短板:
第三方风险。 Stryker 的初始入侵点是一家 IT 服务提供商,这凸显了供应链安全的重要性。医疗设备制造商通常依赖大量第三方服务提供商,每个接入点都可能成为攻击跳板。
网络分割不足。 攻击者能够从 IT 网络横向移动到 OT(运营技术)网络,说明 Stryker 在 IT/OT 隔离方面存在缺陷。
检测响应滞后。 攻击者在内部网络活动了数周才被发现,反映出异常行为检测能力的不足。
防御建议
针对医疗设备制造商:
- 对所有第三方供应商实施严格的安全评估,定期审计其安全状况
- 实施零信任网络架构,最小化内部网络的横向移动空间
- 部署 EDR 和网络检测响应(NDR)工具,实现异常行为实时告警
- 建立数据备份和灾难恢复机制,确保关键业务连续性
- 定期进行渗透测试和红队演练,检验防御体系有效性
针对医疗机构:
- 监控医疗设备供应商的安全公告,及时修补相关漏洞
- 对医院网络进行分区隔离,保护关键医疗系统
- 建立事件响应预案,定期进行演练
Handala 对 Stryker 的攻击是医疗行业网络安全形势恶化的又一个标志性事件。随着地缘政治冲突的加剧,关键基础设施和医疗领域的网络攻击预计将持续增加。
