伊朗黑客攻击史赛克，医疗系统中断五天未恢复

在一个亲伊朗黑客组织声称对史赛克的大规模网络攻击负责五天后，这家位于密歇根州的医疗技术巨头表示，其订购、制造和运输系统仍处于中断状态，尽管该公司正在努力恢复为全球医院提供服务的运营。

攻击事件

攻击发生在3月11日，黑客入侵了史赛克公司微软环境中的一个管理员账户，并利用该公司自己的Intune设备管理系统发出远程擦除指令，在UTC时间早上5点到8点之间抹除了近80,000台设备的数据，据BleepingComputer报道。全球各地的员工被要求回家，并被告知避免连接到史赛克网络。登录页面被篡改，显示了Handala的标志，这个与伊朗有关联的黑客组织在Telegram和X平台上声称对此事件负责。

Handala声称发动此次攻击是为了报复美国对伊朗一所小学的导弹袭击，据伊朗官方媒体报道，该袭击造成至少168名儿童死亡。该组织还声称窃取了50TB的数据，但史赛克公司和独立调查人员均未证实这一说法。帕洛阿尔托网络公司的研究人员已将Handala与伊朗情报和安全部联系起来。

持续性中断影响

史赛克公司在3月15日的最新声明中表示，正在“优先恢复直接支持客户、订购和发货的系统”，并且“核心交易系统已经明确走上全面恢复的轨道”。该公司强调未检测到任何勒索软件或恶意软件，其所有产品，包括联网设备和生命支持技术，“仍然可以安全使用”。微软检测与响应团队正与Palo Alto公司的Unit 42团队共同开展调查。

美国网络安全和基础设施安全局启动了自己的调查，史赛克也向美国证券交易委员会提交了披露文件。美国医院协会表示，目前尚未发现对美国医院的直接影响，但警告称随着中断时间延长，情况可能会发生变化。

更广泛的威胁态势

《华尔街日报》将这次攻击描述为可能是“战时期间针对美国最具影响力的网络攻势”。此次攻击发生在2月28日美国和以色列对伊朗发动袭击后局势不断升级的背景下。在攻击发生前的几周，FBI警告关键基础设施组织加强防御以应对伊朗关联的网络行为者，而报告称与伊朗组织有关的网络中断事件有所增加，这些组织可能瞄准金融部门和重要基础设施。

网络安全公司Sublime Security的威胁情报主管Alex Orleans表示：“我们进入了一个新阶段，这是我们在这场冲突过程中首个公开的伊朗网络报复案例。其他伊朗国家关联组织很可能已经尝试或将在近期尝试类似的破坏性行动。”nextgov​