Агентство по кибербезопасности и защите инфраструктуры США (CISA) призвало американские организации следовать рекомендациям Microsoft по усилению защиты инструмента управления конечными точками Intune после кибератаки, в ходе которой он был использован для полного удаления данных из систем гиганта медицинских технологий Stryker.
Microsoft опубликовало руководство по ужесточению административного контроля в Intune через несколько дней после того, как Stryker подверглась взлому. Ответственность за инцидент взяла на себя группа хактивистов Handala, связанная с Ираном и выступающая в поддержку Палестины.
Хакеры утверждают, что похитили 50 терабайт данных, а затем использовали встроенную команду удаления данных (wipe command) в облачном инструменте управления конечными точками Microsoft Intune для стирания данных почти с 80 000 устройств ранним утром 11 марта.
Как сообщил BleepingComputer источник, знакомый с инцидентом, атака была осуществлена с использованием новой учетной записи глобального администратора, созданной после компрометации учетной записи администратора.
Теперь CISA настоятельно рекомендует всем организациям в США укрепить свои среды Intune, чтобы повысить их устойчивость к аналогичным атакам, которые могут быть направлены на их собственные сети.
“CISA осведомлена о вредоносной киберактивности, направленной на системы управления конечными точками организаций США, основанной на кибератаке 11 марта 2026 года против американской фирмы по медицинским технологиям Stryker Corporation, затронувшей их среду Microsoft”, — заявило в среду американское агентство по кибербезопасности.
“Для защиты от аналогичной вредоносной киберактивности CISA настоятельно призывает организации усилить конфигурации систем управления конечными точками, используя рекомендации и ресурсы, представленные в этом оповещении”.
Список рекомендаций CISA применим к Microsoft Intune и другому программному обеспечению для управления конечными точками. Он требует от ИТ-администраторов использовать подход наименьших привилегий для ролей администраторов, назначая только необходимые разрешения через управление доступом на основе ролей (RBAC) в Microsoft Intune.
Администраторы также должны обеспечить многофакторную аутентификацию (MFA) и соблюдать гигиену привилегированного доступа, чтобы блокировать несанкционированный доступ к привилегированным действиям в Intune (с помощью таких функций Microsoft Entra ID, как условный доступ, сигналы риска и MFA), а также требовать многостороннего одобрения для изменений в критически важных действиях, таких как удаление данных с устройств, обновления приложений и модификации RBAC.
“В совокупности эти практики помогают перейти от опоры на «доверенных администраторов» к построению более защищенного администрирования по замыслу: наименьшие привилегии для ограничения ущерба, элементы управления на основе Microsoft Entra для обеспечения доверия к пользователям и подтверждения их личности, а также многостороннее одобрение для управления наиболее важными изменениями”, — заявляет Microsoft.
Handala (также известная как Handala Hack Team, Hatef, Hamsa), группа, взявшая на себя ответственность за кибератаку на Stryker, появилась в декабре 2023 года как хактивистская операция, нацеленная на израильские организации с использованием вредоносного ПО для стирания данных под Windows и Linux.
Их связывают с Министерством разведки и безопасности Ирана (MOIS), и они известны кражей и утечкой конфиденциальных данных из скомпрометированных систем.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
