国家支援グループが、Microsoft Intuneが侵害された可能性の後、79カ国で200,000台のデバイスを削除したと主張しています。
米国の医療用品大手Strykerへの大規模なサイバー攻撃により、親イランのハッキンググループが同社のMicrosoft Intune管理システムを侵害した可能性がある後、数千台のデバイスが遠隔削除されました。
詳細はまだ明確ではありませんが、世界最大級の医療用品企業の一つで水曜日に起きたとみられることは、確認されれば、サウジアラムコの30,000台のコンピューターが削除された悪名高い2012年のShamoon事件の規模に匹敵する可能性があります。Stykerは世界中に56,000人の従業員を抱えています。
アイルランドでは、Stykerの数千人の従業員がコンピューターにログインできなくなり、世界中の他の従業員はRedditおよびXで複数のデバイスが削除されたことに対する苦情を述べました。
「マルウェアの兆候なし」
「現在のところ、マルウェアまたはランサムウェアの兆候はなく、状況は当社の内部Microsoft環境のみに限定されていると考えています」と同社は木曜日に発表しました。
1日前には、進行中の混乱の重大性により、Stykerは米国証券取引委員会(SEC)に詳細な報告書を提出しました。
「本インシデントは、当社の情報システムおよびビジネスアプリケーションの一部へのアクセスの中断と制限を引き起こしており、今後も引き起こされ続ける可能性があります」とStrykerは述べました。「当社は影響を受けた機能とシステムアクセスを復旧するために全力で取り組んでいますが、完全な復旧のタイムラインはまだ不明です。」
このような申告は、投資家が重大と考える可能性がある攻撃に見舞われた上場企業でのみ必須です。
複数のデバイス(BYOD携帯デバイスを含む)が影響を受けたという事実は、同社のMicrosoft Intune管理システムの侵害を示唆しています。これはまだ確認されていませんが、Intuneの侵害が成功した場合、攻撃者はマルウェアを展開することなく、デバイスを遠隔で削除することができたでしょう。
Handalaが責任を主張
Handala脅迫グループはすぐに攻撃の責任を主張しました。グループの関与は今のところ主張に過ぎませんが、Stykerの従業員は影響を受けたデバイスでHandalaロゴのバージョン(背を向けて両手を組んだパレスチナの少年の漫画)を見たと報じられています。
Handalaの正体を確認することは困難です。Palo Altoは、別の正体であるVoid Mantcoreを通じて、イランの情報保安省(MOIS)に関連付けています。他のセキュリティベンダーは、Banished KittenやStorm-842を含む異なる名前を使用しています。
グループの政治的動機は比較的明確です。ウェブサイトの声明で、グループはサイバー攻撃をイランのミナブ市の学校への2月28日の攻撃への対応と位置付けており、この攻撃により最大170人の子供と大人が殺害されました。
「ミナブ学校への蛮行への報復として、また抵抗軸のインフラストラクチャに対する継続中のサイバー攻撃に対応して、当社の大規模なサイバー作戦が完全に成功しました。この作戦では、200,000以上のシステム、サーバー、および携帯デバイスが削除され、50テラバイトの重要なデータが抽出されました」と述べられました。
重大な欠陥
Intuneが侵害の経路だった場合、Stykerのフォレンジクスチームの最初の仕事は、攻撃者がどのようにシステムに侵入したかを突き止めることになります。
「Stykerは認証にEntraを使用しており、これはシングルサインオンですべてを統合し、サーバー、ラップトップ、電話など、すべてのデバイスを構築・更新するソフトウェアを含みます」と、セキュリティマネージドセキュリティ企業e2e-assureのCEOであるRob Demainはコメントしました。
「これはベストプラクティスの設計パターンですが、致命的な欠陥があります。侵害されると、攻撃者がすべてのデバイスを削除するアクセス権を持つことになり、ここで起きたことがまさにこれのようです。初期アクセスは、通常は中間者攻撃(AitM)を通じた認証情報の盗難による可能性が高いです。」
このような重大なシステムの侵害は重大なセキュリティ上の失敗を示唆していると、セキュリティ管理企業ThreatAwareのCEOで共同創業者であるJon Abbottは述べました。
「攻撃者は、Scattered Spider攻撃で見たようにヘルプデスクをトリックして管理者認証情報をリセットさせるか、管理者のマシンを乗っ取るか、または管理者を直接スピア・フィッシングしてきたのいずれかです」とAbbottは述べました。
「攻撃者がこれを実行するために、誰かが重大な基本的な間違いを犯すことなく実行する可能性は低いと思われます。管理者アカウントへのアクセスを許可する誰もが、検証チェックを強化する必要があります。多くのクライアントは現在、管理者認証情報をリセットする前に三者間のビデオ通話を必須としており、管理者、彼らのマネージャー、およびサービスデスク担当者を一堂に集めています。」
セキュリティ企業は、戦争が始まったときに親イラングループが米国企業をウイッピング攻撃でターゲットにすると予測していました。これは明確なメッセージを持つ脅威レベルの上昇です。イラン国家行為者は現在、米国企業とそのサプライチェーンを積極的にターゲットにしており、誰も許しません。すべての弱点と間違いが利用されます。
