本周,医疗科技公司史赛克的员工们上班后,一登录工作电脑就懵了——屏幕上没有熟悉的工作界面,反而跳出了一个陌生的黑白卡通形象。后来大家才知道,这是一个亲伊朗黑客组织的标志,而公司已经遭遇了一场瘫痪性的网络攻击。
据彭博新闻社拿到的截图显示,员工们看到的这个卡通形象叫“Handala”,这个黑客组织专门针对和以色列、美军有关的机构下手,搞数字破坏活动。
该黑客组织在本周三发布的网络帖子里直言,之所以攻击史赛克,是为了报复美军导弹袭击伊朗学校的行为。不过目前,史赛克公司以及任何一家网络安全公司,都还没有证实这次网络入侵确实是Handala干的。
其实Handala早就活跃在网络上,算是近期亲伊朗网络活动的典型代表。和以前不一样,他们现在的攻击手段越来越狠,不再是简单篡改一下网站就完事,而是改成了更具破坏性的蓄意破坏,还会专门挑时机发动带有政治目的的攻击。他们专找有象征意义的目标,入侵对方系统后就泄露数据,就是为了最大程度给对方造成心理压力。如果这次攻击史赛克真的是他们所为,那这将是Handala迄今为止规模最大的一次入侵行动。
有一位了解内情,但不方便公开谈论此事的人士透露,这次攻击导致公司部分设备上的数据被直接删除。史赛克在周三晚上发布的公司文件中也表示,预计这次入侵还会继续影响公司运营,至于什么时候能完全恢复,目前还说不准。
到了周四早上,史赛克又发了一份声明补充说明,称公司正在紧急抢修电子订购系统,尽量减少损失。
可能很多人不知道,黑客发动的这种“擦除器”攻击其实并不常见,这种攻击会彻底清除受影响设备上的所有数据,一般都是由国家资助的网络间谍组织才会使用。比如2022年俄罗斯入侵乌克兰初期,就曾对乌克兰目标发动过著名的擦除器攻击;2014年,朝鲜黑客也用同样的方法攻击过索尼影业。
这次针对史赛克的攻击强度,和网络安全专家之前对Handala发出的紧急警告完全吻合。如果这次入侵最终被证实是Handala所为,那这将是近两周美以联合打击伊朗以来,美国机构首次遭遇的重大网络破坏事件。
帕洛阿尔托网络公司的威胁情报高级经理贾斯汀·摩尔表示,Handala其实是伊朗情报与安全部操控的一个“前台组织”,相当于伊朗官方的“白手套”。过去两年里,这个组织的攻击技术越来越先进,破坏性也越来越强。
摩尔还透露,Handala曾针对过以色列的知名政客。比如他们曾声称,入侵过前以色列总理纳夫塔利·贝内特的手机,还泄露了他的敏感个人信息。除此之外,他们还攻击过以色列索雷克核研究中心,不仅泄露了该中心内部的照片,还公布了一份据称参与粒子加速器项目的科学家名单,挑衅意味十足。
“Handala最危险的地方在于,过去两年里,他们已经变成了伊朗政权实施网络报复的主要工具。”摩尔说道,“经过这些年的演变,他们既有着黑客团体那种张扬、混乱的攻击套路,又具备国家层面才能拥有的破坏能力,很难对付。”
Handala之所以盯上史赛克,给出的理由是这家公司和以色列有关联——2019年,史赛克收购了以色列的OrthoSpace公司。而且史赛克之前也和美军有过合作,去年还拿下了一份价值4.5亿美元的合同,专门给美国国防部供应医疗设备。
不过有一点需要注意,黑客攻击很多时候其实就是“ opportunistic ”,说白了就是看哪个目标好下手就攻哪个,选择史赛克也可能只是因为这家公司的系统存在漏洞,容易突破。
据网络安全公司Check Point介绍,“Handala”这个名字来源于一幅支持巴勒斯坦的政治漫画,画里是一个小男孩。这个卡通形象经常被用作抗议的象征,也成了这个黑客组织的标志。
除了声称攻击史赛克,Handala还表示,支付公司Verifone的一次运营中断也是他们干的。但Verifone的一位发言人告诉彭博社,公司根本没有遭遇入侵,Handala发布的那些看似能证明他们有内部访问权限的截图,也不是近期的内容,纯属虚假宣传。
另外,Handala还宣称对以色列希伯来语学院的网站攻击负责。据以色列第12频道媒体报道,攻击者篡改了该学院的网站,换上了带有威胁性质的信息,还有一幅宣传亲巴勒斯坦内容的卡通图片。
不止这些,波兰国家核研究中心最近也成功阻止了一次网络攻击企图,当地一位政府部长向媒体暗示,这次攻击大概率和伊朗有关。
其实在美以刚开始轰炸伊朗的那几天,伊朗那些有国家支持的黑客组织,在战争中并没有起到什么实质性作用。比如有一次,以色列声称轰炸了德黑兰一栋容纳伊朗网络战总部的建筑,几乎是同时,那些黑客的数字基础设施就从互联网上消失了,相当于被“一锅端”。
不过专门研究伊朗间谍战术的威胁分析师表示,德黑兰政府早就有个习惯——把网络攻击行动外包给代理组织和前台组织,让这些组织替他们出手,自己则隐藏在背后,避免直接暴露。
网络安全专家也发出警告,亲伊朗的这些组织,通常会把破坏性攻击和宣传、虚假信息结合起来,目的就是为了夸大自己的实力,制造恐慌。谷歌旗下威胁情报集团的首席分析师约翰·赫尔特奎斯特表示,在任何冲突中,激进黑客组织都会扮演特殊角色,成为一方的“网络尖刀”。
这种策略,也和伊朗整体的战争方针保持一致。
伊朗伊斯兰革命卫队已经向整个中东地区的目标发射了导弹,不管这些目标是否直接参与了战斗。据半岛电视台报道,伊朗官方关联媒体塔斯尼姆,还发布了一份美国公司名单,这些公司的办公室和产品,都被伊朗视为冲突中的合法攻击目标,其中就包括一些美国科技公司。
值得一提的是,名单上的微软公司和史赛克有合作,史赛克表示,他们使用的微软平台,在这次网络攻击中也出现了“全球性中断”,影响了正常运营。不过微软方面,并没有对史赛克的情况发表任何评论。
