伊朗戰爭首次重大網絡反擊：黑掉美國醫療巨頭

伊朗實施了對美國曆史上可能最具破壞力的戰時網絡攻擊，利用其黑客能力對一家全球醫療設備公司造成重大幹擾，該公司近日一直在努力恢復其網絡系統。

這場攻擊將迄今爲止主要侷限於海灣地區的衝突帶到了美國本土，並預示了伊朗可能如何擴大對美以軍事行動的回應範圍。

《華爾街日報》稱，總部位於密歇根州、在此次黑客攻擊中受害的史賽克公司（Stryker，SYK）表示，公司經歷了“全球性中斷”並迅速將其控制住。該公司表示，相信該事件僅限於其內部的微軟系統。公司補充說，一些醫院可能會暫時出現醫療數據傳輸暫停的情況，但其聯網產品“未受影響，可以安全使用”。微軟尚未對此事置評。

多年來，美國國家安全官員一直擔心，缺乏用洲際彈道導彈打擊美國本土能力的伊朗，會將其他形式的不對稱戰爭作爲報復對該國政權軍事打擊的手段。

官員們經常說，兩種最令人擔憂的情況是：煽動個別的中國恐怖主義行爲，或對美國企業或關鍵基礎設施發起重大破壞性網絡攻擊。

前官員和安全專家表示，通過針對史賽克的網絡攻擊，伊朗兌現了後者，並將網絡武器的使用作爲其作戰努力的一部分，旨在削弱美國繼續戰爭的決心。

“這是第一場我們扮演重要角色的、真正將網絡作戰和行動作戰融合在一起的長期衝突，”聯邦調查局前高級網絡官員、現網絡安全公司Halcyon高級副總裁辛西婭·凱澤（Cynthia Kaiser）表示。美國官員已公開表示，進攻性網絡行動是上月底首批軍事打擊的一部分。

生產關節植入物、機器人手術系統及其他醫療設備和器械的史賽克公司，上週三通知其約5.6萬名員工斷開所有網絡連接，並避免打開公司發放的設備。包括美國、愛爾蘭和澳大利亞在內的全球員工在Reddit論壇上發帖表達不滿。

在線上聲明中，一些醫院表示，由於此次黑客攻擊，他們不得不暫時停止使用一個允許緊急醫療服務人員傳輸患者生命體徵數據的系統。史賽克表示，該系統（Lifenet）運行正常。

史賽克表示，有幾家醫院和急救服務提供商自行選擇暫時停止使用Lifenet系統，但這並非公司指示，也並非由於網絡攻擊導致該系統出現任何中斷。

史賽克週日表示，電子訂購系統無法使用，但公司正在穩步推進恢復運營。公司優先恢復直接支持客戶、訂單處理和發貨的系統。

史賽克首席執行官凱文·洛博（Kevin Lobo）表示：“這一事件凸顯了當今企業面臨的更廣泛的威脅環境。”

特朗普就其伊朗問題的最終目標，或者他預想美以軍事行動何時或如何結束，發出了混亂的信號。在這種不確定性中，前美國官員和安全專家表示，預計會有更多針對美國網絡的網絡攻擊。

拜登政府時期網絡安全和基礎設施安全局前局長珍·伊斯特利（Jen Easterly）上週三在《華爾街日報》科技直播網絡安全活動上發表講話時表示：“據我們所知，儘管面臨持續的軍事壓力，伊朗仍然擁有相當強大的網絡能力。”她說，伊朗黑客過去曾試圖攻擊運營水、電和醫療保健系統的關鍵基礎設施提供商，但所有私營企業都應視自己面臨風險。

伊斯特利說：“每一位企業領導人都應該問自己，‘就我的業務中斷而言，最壞的情況是什麼？’”

儘管不如俄羅斯黑客那樣嫺熟，但伊朗分散的數字戰士網絡長期以來一直被西方安全官員視爲更難以預測的網絡對手——他們願意製造混亂，尤其是在該政權感到受威脅時。

根據美國情報評估，伊朗在過去兩個選舉週期中曾試圖影響美國總統大選，包括試圖泄露被黑的競選電子郵件，儘管其行動常常笨拙或隨意。伊朗通常不採用定製的黑客工具，而是依賴更粗糙的手段，如魚叉式釣魚活動來達到目的。

但據追蹤伊朗行動的現任和前任官員及網絡安全專家稱，除少數例外，德黑蘭過去的網絡侵略往往雷聲大雨點小。此前美國政府多次警告稱，伊朗可能以網絡攻擊報復美國利益——包括去年夏天針對伊朗核設施的“午夜之錘”打擊以及2020年一名伊朗軍事領導人被暗殺之後，但均未出現重大破壞。

聲稱對史賽克黑客攻擊負責的組織Handala僞裝成一個獨立的黑客活動分子實體，但西方網絡安全專家和美國官員表示，它爲伊朗政府工作。以色列網絡安全公司Check Point上週四發佈的研究報告稱，Handala實際上隸屬於伊朗的情報與安全部（MOIS），即德黑蘭的中央間諜機構——美國官員也持同樣觀點。

Check Point辦公室主任吉爾·梅辛（Gil Messing）表示，Handala是MOIS的主要網絡攻擊組織，並且“處於伊朗國家網絡戰爭的前沿”，其進攻的先進程度僅次於伊斯蘭革命衛隊。該組織過去的活動主要集中在以色列和海灣地區其他國家，但最近已擴大範圍，聚焦歐洲和美國目標。

梅辛說：“他們代表了伊朗的大部分網絡能力，並聚焦於該國的敵人。”

史賽克在上週三發送給員工的通知中表示，尚未確定此次入侵的原因。調查人員認爲，一種可能性是黑客通過釣魚攻擊竊取了某位員工或承包商的登錄憑證。這將使黑客能夠訪問公司用於遠程管理網絡上設備的微軟Intune服務的公司控制權。此類訪問權限可能使黑客能夠擦除數以萬計設備上的數據。

史賽克在內部溝通中建議員工不要點擊可疑鏈接，並敦促立即從手機上刪除移動設備管理應用和工作配置文件。史賽克員工發現，運行微軟Windows操作系統的手機和筆記本電腦已被擦除。

目前尚不清楚史賽克是隨機目標還是黑客蓄意選擇的攻擊對象。Handala在其Telegram頻道上發帖稱，此次攻擊是爲了報復以色列對伊朗一所小學的襲擊。據伊朗官方媒體報道，那次襲擊造成160多人死亡，其中包括許多兒童。《華爾街日報》此前報道，五角大樓正在調查該襲擊事件，認爲美國很可能負有責任。

自當前戰爭爆發以來，有關疑似與伊朗有關的黑客活動的報道層出不窮，包括針對阿爾巴尼亞政府電子郵件系統的攻擊、試圖入侵波蘭一家核研究組織的行動，以及在海灣地區的其他活動。專家表示，這些行動都遠不及針對史賽克的黑客攻擊那樣重大或具有破壞性。

伊朗歷來更傾向於隱藏其網絡行動。但最近，Handala和其他組織試圖通過向公衆發送威脅信息來放大其實際造成的損害，目的是在受害者及更廣泛的公衆中製造脆弱感。