B
Ars Technica 20일 전
미 의료기기사 스트라이커, 친(親)이란 해킹으로 전 세계 네트워크 마비
중요도
핵심 요약
미국과 이스라엘의 이란 공습 이후 예견되었던 보복성 사이버 공격이 다국적 의료기기 제조사 스트라이커(Stryker)를 강타했습니다. 친이란 성향의 해킹 단체 '한달라 핵(Handala Hack)'이 전 세계 윈도우 환경을 마비시키는 공격을 감행했으며, 기존의 악성코드가 아닌 마이크로소프트의 관리 도구(Intune)를 악용해 데이터를 삭제한 정황이 포착되었습니다.
번역된 본문
미국과 이스라엘이 이란에 공습을 가한 지 불과 몇 시간 만에, 전 세계의 보안 전문가들은 파괴적인 보복 해킹에 대비할 것을 각 기업에 경고했습니다. 지난주 수요일, 이러한 우려가 현실이 된 듯했습니다. 다국적 의료기기 제조사인 스트라이커(Stryker)가 사이버 공격으로 인해 인프라의 상당 부분이 마비되었음을 확인했고, 이란 정부와 연계된 것으로 오랫동안 알려진 해킹 단체가 이에 대한 책임을 주장했기 때문입니다.
현재 상황은 어떻습니까?
공격은 언제, 어떻게 발생했습니까?
초기 징후는 소셜 미디어 게시물과 아일랜드 언론의 보도였습니다. 스트라이커 직원이라고 주장하는 사람들이나 그 가족들이 소셜 미디어에 올린 글에 따르면, 직원들의 휴대전화와 컴퓨터 데이터가 완전히 초기화되었다고 합니다. 익명의 소식통을 다수 인용한 아일랜드 엑스아미네르(Irish Examiner)의 수요일 오전 보도도 같은 주장을 담고 있었습니다. 또한 일부 직원들은 초기화된 기기의 로그인 페이지에 '한달라 핵(Handala Hack)'이라는 그룹의 로고가 표시되는 것을 목격했습니다. 이 그룹은 수년간 이들을 추적해 온 연구원들에 따르면 이란 정부와 연계되어 있습니다.
현재 상태는 어떻습니까?
스트라이커는 목요일에 "사이버 공격으로 인해 마이크로소프트(Microsoft) 환경에 글로벌 네트워크 장애가 발생했고 이에 대응 중"이라고 밝혔습니다. 이어서 업데이트된 내용을 통해 대응팀은 이번 정전 사태의 일반적인 원인인 랜섬웨어나 악성코드가 관여되었다는 증거를 발견하지 못했다고 전했습니다. 대응팀은 현재 사건이 통제되었으며 내부 마이크로소프트 환경으로만 제한되었다고 판단하고 있습니다. 회사 측은 의료진이 심장마비를 모니터링하고 통제하며, 환자 정보를 실시간으로 관리 및 전송하고, 수술을 수행하는 데 사용하는 라이프팩(Lifepak), 라이프넷(Lifenet), 마코(Mako) 기기는 모두 정상적으로 작동하고 있다고 밝혔습니다. 스트라이커는 수요일 미국 증권거래위원회(SEC)에 제출한 서류에서 정상적인 일상 업무를 복구할 시점에 대한 타임라인이 아직 없다고 밝혔습니다.
처음에 스트라이커의 네트워크는 어떻게 뚫렸습니까?
이에 대한 정보는 아직 공개되지 않았습니다. 이로 인해 외부 전문가들은 나름의 추측을 내놓고 있습니다. 이란 후원 해커들은 데이터와 이를 저장하는 하드 드라이브를 영구적으로 파괴하기 위해 와이퍼(Wiper) 악성코드를 사용하는 오랜 전력이 있습니다. 2012년 세계 최대 원유 수출국인 사우디 아람코(Saudi Aramco)를 표적으로 삼았고 4년 후 다시 사우디아라비아 기관을 공격한 와이퍼인 샤문(Shamoon)은 이란과 연결되어 있지만 확실하게 입증되지는 않았습니다. 2019년, 연구원들은 이란과도 연관된 것으로 알려진 새로운 와이퍼인 제로클리어(ZeroCleare)의 발견을 보고했습니다.
스트라이커에 대한 공격이 이러한 정확한 패턴에 맞지 않을 수 있다고 믿을 만한 이유가 있습니다. 첫째, 스트라이커는 아직 악성코드의 증거를 찾지 못했다고 밝혔습니다. 둘째, 일부 소셜 미디어 게시물과 크렙스온시큐리티(KrebsOnSecurity) 보도에서 인용된 익명의 소식통에 따르면, 데이터 초기화는 관리자가 단일 인터페이스에서 대량의 장비를 원격으로 제어할 수 있게 해주는 마이크로소프트의 도구인 '인튠(InTune)'을 사용해 수행된 것으로 보입니다.
게다가 보안 기업 체크포인트(Check Point)는 한달라 핵에 대한 내부 추적 명칭인 '보이드 맨티코어(Void Manticore)'가 과거에 맞춤형 및 공개된 도구와 수동 조작 기법을 모두 사용하여 데이터를 삭제해 왔다고 밝혔습니다. 회사 연구원들은 또한 이 그룹이 표적에 대한 초기 접근 권한을 얻기 위해 지하 범죄 서비스에 의존하는 경우가 많다고 말했으며, 이 방법이 스트라이커에도 사용되었을 수 있습니다. 이러한 점들을 종합해 볼 때, 위협 행위자들이 액세스 브로커나 다른 수단을 통해 스트라이커의 인튠 인터페이스에 접근한 뒤, 이 도구를 이용해 회사 전체의 윈도우(Windows) 네트워크에 삭제 명령을 내렸을 가능성이 있습니다.
한달라 핵에 대해 알려진 다른 사항은 무엇입니까?
이 그룹은 최소 2023년부터 존재해 왔습니다. 그룹명은 팔레스타인 예술가 나지 알 알리(Naji al-Ali)의 정치 만화 캐릭터에서 따온 것입니다. 이 그룹의 로고는 팔레스타인 저항과 관련된 상징인 어린 팔레스타인 소년을 묘사하고 있습니다. 체크포인트에 따르면, 이 그룹은 주로 이스라엘을 표적으로 삼으며, 최근에는 이스라엘의 학술 및 연구 기관을 겨냥한 파괴적인 공격을 감행했습니다.
원문 보기 (영어)
Text settings Story text Size Small Standard Large Width * Standard Wide Links Standard Orange * Subscribers only Learn more Minimize to nav Within hours of the US and Israel launching airstrikes on Iran two weeks ago, security professionals warned organizations around the world to be on heightened watch for destructive retaliatory hacks. On Wednesday, the predictions appeared to come true as Stryker, a multinational maker of medical devices, confirmed a cyberattack that took down much of its infrastructure, and a hacking group long known to be aligned with the Iranian government claimed responsibility. Where things stand When and how did the attack come about? The first indications were social media posts and a report from a news organization in Ireland. Messages posted by purported Stryker employees or their family members on social media said workers’ phones and computers had been wiped. A report the Irish Examiner published Wednesday morning, citing multiple anonymous sources, made the same claims and said some employees witnessed login pages on wiped devices displaying the logo of Handala Hack, a group that researchers who have followed it for years say is aligned with the Iranian government. What is the status now? Stryker said Thursday that it’s in the midst of responding to a “global network disruption to our Microsoft environment as a result of a cyber attack.” The update went on to say responders have no indication that ransomware or malware—the usual causes for such outages—were involved. The responders believe the incident is now contained and limited to the internal Microsoft environment. The company did say that Lifepak, Lifenet, and Mako devices—which medical professionals use to monitor for and control heart attacks, manage and transmit patient information in real time, and perform surgeries—were all functioning normally. In a Securities and Exchange Commission filing on Wednesday, Stryker said it had no timeline for recovering normal day-to-day activities. How was Stryker’s network breached in the first place? That information isn’t yet known publicly. That leaves outsiders to make educated guesses. Iran-sponsored hackers have a long history of using wiper malware to permanently destroy data and the hard drives that store it. Shamoon, a wiper that targeted Saudi Aramco, the world’s largest exporter of crude oil, in 2012 and again struck Saudi Arabian organizations four years later, has been linked to Iran, although not conclusively . In 2019, researchers reported the discovery of a new wiper, dubbed ZeroCleare , that has also been linked to Iran. There are reasons to believe that the attack against Stryker may not have fit this precise pattern. For one, Stryker has said that it has yet to find evidence of malware. And for another, some social media posts—and an unnamed source cited in this report from KrebsOnSecurity—indicate the data wiping was carried out using InTune, a tool made by Microsoft that allows administrators to remotely control large fleets of machines from a single interface. What’s more, security firm Check Point said that “Void Manticore,” its internal tracking name for Handala Hack, has historically used both custom-built and publicly available tools and manual hands-on techniques for data wiping. Company researchers also said that the group often relies on underground criminal services to obtain initial access to targets, a means that may have been used against Stryker. Taken together, these considerations may indicate that the threat actors accessed Stryker’s InTune interface through an access broker or other means and used the tool to issue deletion commands throughout the company’s Windows network. What else is known about Handala Hack? The group has existed since at least 2023 . It takes its name from a character in the political cartoons of Palestinian artist Naji al-Ali. The group’s logo depicts a small Palestinian boy who is a symbol associated with Palestinian resistance. Check Point and other security firms have said Handala Hack is affiliated with Iran’s Ministry of Intelligence and Security and maintains multiple online personas. Compared to other nation-state-sponsored hacking groups, Handala Hack has kept a comparatively lower profile. Still, it has carried out a series of destructive wiping attacks and influence operations over the years. Around the same time the Stryker attack came to light, posts to a Telegram account and website controlled by Handala Hack took credit for the takedown. Handala posts cited last week’s killing of 165 civilians at a girls’ school in Iran by an American Tomahawk missile and past hacking operations that the US and Israel have perpetrated on Iran. What is the point of striking a corporation in retaliation for airstrikes carried out by the US and Israel? Such actions are taken for their psychological effects, which are often disproportionately larger than the resources required to bring them about. With limited means for Iran to strike back militarily, the Stryker disruption allows an alternative means for the country and its allies to retaliate. The success is intended to demonstrate that pro-Iranian forces can still exact a price that has a material effect on large populations in the US, Israel, and countries allied with them. As a major supplier of lifesaving medical devices relied on throughout the US and its allies, Stryker plays a strategic and symbolic role in their security, researchers at Flashpoint said Thursday . “By operating behind a persona styled as a grassroots, pro-Palestinian resistance movement, Iranian state-nexus actors are able to conduct destructive cyber operations against Western organizations while maintaining a degree of plausible deniability.” Dan Goodin Senior Security Editor Dan Goodin Senior Security Editor Dan Goodin is Senior Security Editor at Ars Technica, where he oversees coverage of malware, computer espionage, botnets, hardware hacking, encryption, and passwords. In his spare time, he enjoys gardening, cooking, and following the independent music scene. Dan is based in San Francisco. Follow him at here on Mastodon and here on Bluesky. Contact him on Signal at DanArs.82. 79 Comments