Le géant de la technologie médicale Stryker a déclaré qu’il était en train de restaurer ses ordinateurs et son réseau interne à la suite d’une cyberattaque qui aurait permis à des pirates informatiques pro-iraniens d’effacer à distance des dizaines de milliers d’appareils d’employés.
Ce piratage, qui a entraîné des perturbations généralisées dans les opérations de l’entreprise, est considéré comme la première cyberattaque majeure aux États-Unis en réponse à la guerre menée par l’administration Trump en Iran.
Stryker a déclaré dans une mise à jour ce week-end que la cyberattaque du 11 mars était limitée à l’environnement Microsoft interne de l’entreprise et que ses produits médicaux connectés à Internet étaient « sûrs à utiliser ».
Bien que la cause de la violation fasse toujours l’objet d’une enquête, le fabricant de technologies de dispositifs médicaux a déclaré n’avoir vu aucune indication de ransomware ou de malware. Stryker a déclaré que sa capacité à traiter les commandes, à fabriquer ou à expédier des appareils continue d’être perturbée.
Un groupe de piratage pro-iranien appelé Handala s’est attribué le mérite de cette brèche destructrice, affirmant que son piratage était une réponse à une frappe aérienne américaine contre une école iranienne qui a tué au moins 175 personnes, pour la plupart des enfants. Les pirates ont également dégradé les pages de connexion de l’entreprise avec son propre logo.
Selon Bleeping Computer, les pirates de Handala pourraient s’être introduits par effraction en utilisant un compte administrateur interne de Stryker qui leur accordait un accès quasi illimité au réseau Windows de l’entreprise. Les pirates auraient accédé aux tableaux de bord Microsoft InTune de l’entreprise, qui permettent la gestion à distance des ordinateurs portables et des appareils mobiles des employés, comme la suppression de données en cas de perte ou de vol de l’appareil d’un employé.
Une compromission réussie des tableaux de bord InTune de l’entreprise aurait permis aux pirates informatiques d’effacer à distance les téléphones et ordinateurs portables des employés, y compris les appareils personnels, sans utiliser de logiciels malveillants.
Le Wall Street Journal a également rapporté que les pirates avaient ciblé InTune.
Un porte-parole de Stryker n’a pas répondu à une demande de commentaires ou à des questions sur la violation, notamment si le compte prétendument compromis était protégé par une authentification multifacteur.
On ne sait pas exactement comment les pirates ont obtenu leur accès au réseau de Stryker. Les chercheurs en sécurité de Palo Alto Networks ont déclaré que les pirates de Handala auraient pu recourir au phishing pour compromettre le réseau de Stryker. IBM a déclaré que le groupe de piratage informatique aligné sur l’Iran est connu pour utiliser des techniques de phishing et des attaques destructrices, ciblant notamment les secteurs de la santé et de l’énergie. Les logiciels malveillants Infostealer, qui peuvent voler les mots de passe et les informations d’identification d’une personne, peuvent également être à blâmer.
Stryker emploie 56 000 personnes dans le monde et opère dans plus de 60 pays, selon Reuters.
