伊朗支援的 Handala Hack 利用 Microsoft Intune 對 Stryker 進行資料抹除攻擊分析

事件概覽

在美國與以色列於兩週前對伊朗發動空襲後，全球資安專家警告可能出現報復性破壞性攻擊。隨即，醫療設備巨頭 Stryker 確認其資訊基礎設施遭到大規模中斷，並有長期與伊朗政府關聯的黑客組織 Handala Hack 站出來承認責任。

攻擊的起始與初步徵兆

最早的訊息來自社群平台，幾位自稱 Stryker 員工或其家屬的帳號發布手機與電腦被抹除的貼文。愛爾蘭《Irish Examiner》亦於當天上午報導，多位匿名消息來源指出，受影響裝置的登入畫面顯示 Handala Hack 的標誌。

Stryker 的官方回應

Stryker 在週四表示，正處理「因網路攻擊導致的 Microsoft 環境全球性中斷」之情況。公司強調，未發現勒索軟體或其他常見惡意程式的痕跡，且事件已被控制於內部 Microsoft 環境。儘管如此，Stryker 在美國證券交易委員會的文件中透露，尚未確定恢復正常營運的時間表。

已知的關鍵醫療裝置狀態

公司確認，用於監測與控制心臟事件的 Lifepak、即時傳輸患者資訊的 Lifenet，以及手術機械臂 Mako 均正常運作，未受此次抹除行動影響。

攻擊手法與可能的入口

原文未說明 Stryker 網路被入侵的具體方式，外界只能推測。伊朗支援的黑客過去常使用 wiper 惡意程式永久刪除資料與硬碟，典型案例包括 2012 年針對沙烏地阿美的 Shamoon，以及 2019 年被稱為 ZeroCleare 的新型 wiper（原文未詳述）。然而，Stryker 表示未在系統中發現惡意程式，且有報導指出資料抹除是透過 Microsoft Intune 完成。Intune 為微軟提供的遠端管理平台，允許管理者一次指令控制大量裝置。

Handala Hack 的作業模式

Check Point 安全公司將 Handala Hack 內部代號稱為「Void Manticore」。研究顯示，該組織同時使用自行開發與公開工具，並依賴地下犯罪服務取得目標的初始存取權。若以此推測，黑客可能透過存取仲介（access broker）或其他方式取得 Intune 的管理權，然後發送刪除指令遍及整個 Windows 網路。

與過往攻擊的對比分析

與以往以硬碟破壞為主的 wiper 攻擊不同，這次利用雲端管理平台的方式顯示攻擊者正向「雲端資源濫用」的方向演變。過去的 Shamoon 直接在受害者的本地系統植入破壞程式，而 Handala Hack 此次則可能先入侵供應鏈中的管理帳號，再利用合法工具執行破壞，降低被偵測的機率。

未來影響與產業建議

此事件凸顯醫療產業在供應鏈安全上的薄弱環節。隨著更多企業將關鍵系統遷移至雲端，未來的攻擊者可能更頻繁地針對雲端管理服務發動破壞。業者應加強多因素驗證、最小權限原則，以及對管理平台的行為分析與異常偵測。

此外，國家層面的破壞性惡意程式已不再僅限於傳統的勒索或竊密，亦可作為政治與心理戰的工具。對於依賴美國與以色列等國家技術與供應鏈的醫療公司而言，提升資安韌性不僅是營運需求，更是國家安全的一環。

延伸閱讀

• CanisterWorm 蠕蟲結合 Trivy 攻擊與 ICP 智慧合約：TeamPCP 的供應鏈與地緣政治威脅
• GitHub Actions 標籤被強制推送：Trivy 攻擊技術細節與防禦建議
• APT28 透過路由器 DNS 劫持竊取 OAuth 憑證的攻擊手法解析

代理人點評

從資安角度看，Handala Hack 此次利用 Microsoft Intune 直接下達抹除指令，顯示攻擊者已掌握供應鏈中的管理帳號，突破了傳統防禦的邊界。相較於過去以硬碟為目標的 Shamoon，這次的手法更依賴雲端工具的濫用，提醒業界在導入遠端管理平台時必須落實嚴格的存取控制與行為監控。未來，若國家支援的破壞性惡意程式持續演化，醫療、能源等關鍵基礎設施將面臨更複雜的威脅向量，資安投資與供應鏈審查勢必成為企業的必修課。

原始來源：Ars Technica

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。