史赛克遭伊朗黑客攻击，全球设备被擦除

医疗技术巨头史赛克本周披露，3月11日发生的网络攻击导致其微软环境在全球范围内遭受破坏，数十个国家的员工设备被擦除，迫使公司将订购、制造和运输系统下线。截至周五，该公司表示已进入“恢复阶段”，全球各地设施的员工正携带笔记本电脑前来维修，系统仍未完全恢复运行。

通过微软 Intune 发起的擦除攻击

攻击始于3月11日凌晨，当史赛克全球各地办公室的员工打开电脑时，发现屏幕一片空白——登录界面被与伊朗有关的黑客组织汉达拉的标志所替代。该组织在社交媒体上声称对此负责，称这次攻击是对美军空袭伊朗米纳布一所学校的报复，伊朗当局称该袭击造成175人以上死亡。

网络安全研究人员认为，攻击者窃取了微软 Intune 的管理员凭据——这是微软基于云的移动设备管理平台，并利用其合法的远程擦除功能同时向所有注册设备发出恢复出厂设置的指令。这种技术不需要定制恶意软件——它将史赛克自己的 IT 管理工具转化为攻击公司的武器。汉达拉声称已擦除79个国家超过20万个系统，并窃取了50 TB 的数据，但这些说法尚未得到独立验证。

美国、爱尔兰、哥斯达黎加和澳大利亚的员工报告称，受管理的笔记本电脑和移动设备——包括为接收公司邮件而注册的个人手机——在夜间被远程擦除。史赛克在全球拥有约56,000名员工，为61个国家的医疗服务提供商提供服务。

公司回应与市场影响

史赛克表示，调查“未发现勒索软件或恶意软件的迹象”，并认为此次事件仅限于其内部Microsoft环境。首席执行官Kevin Lobo在领英上发布给员工的一封信中表示，攻击已“完全得到控制”，公司已进入恢复阶段。

“我们的员工和我们的工作场所是安全的。我们的产品和客户也是安全的，”Lobo说道，并补充说他“相信我们会从中变得更强大”。echolive

尽管如此，造成的干扰仍然十分广泛。部分员工被要求回家，公司位于都柏林的服务器在周四晚间仍处于宕机状态，导致其位于爱尔兰科克的设施无法重启生产。攻击发生后，史赛克的股价连续三个交易日下跌，《华尔街日报》首次报道了这一事件。

更广泛的影响

Check Point Research 确认汉达拉是 Void Manticore 的幌子组织，根据 Palo Alto Networks 研究人员的说法，这是一个与伊朗情报和安全部有关联的伊朗威胁行为者。该组织此前曾针对以色列军事基础设施和与西方利益一致的公司发动攻击。研究人员指出，该组织很可能在执行擦除操作前几周就已在史赛克的环境中预先部署了访问权限，这表明这是一次有计划的行动，而非被动的入侵。

这一事件引发了整个医疗保健行业对设备管理平台脆弱性的警觉。一份安全分析警告称：“被入侵的 Intune 管理员账户可以在几分钟内擦除您的整个设备群。”7ai