Stryker被黑3萬臺設備變磚，CISA急喊"雙人鎖門"

3月11日，醫療科技巨頭Stryker（史賽克）的員工們照常打開電腦，發現屏幕一片空白。不是系統更新，不是IT維護——是有人從千里之外按下了"刪除"鍵，3萬臺手機、平板、電腦瞬間變磚。這家公司每年營收超200億美元，賣給醫院的手術設備和骨科植入物遍布全球，此刻卻連內部郵件都發不出去。

動手的是個叫Handala的親伊朗黑客組織。他們沒要贖金，沒偷病歷，純粹搞破壞。理由寫得像抗議標語：報復美軍空襲伊朗學校致死數十名兒童。FBI在周三查封了他們的網站，但設備已經涼了。

Intune：一把能開所有門的鑰匙

這次攻擊的入口是微軟Intune（端點管理工具），企業IT部門用它遠程管理員工設備——裝軟件、打補丁、必要時擦除數據。Handala黑進Stryker的Windows網絡后，直接登上了Intune控制臺，把"遠程擦除"功能當成了大規模殺傷性武器。

CISA在周四的警告里打了個比方：管理員工設備的系統，應該像核導彈發射井一樣設計——需要兩把鑰匙同時轉動。具體來說，能執行"擦除設備"這種高危操作的賬戶，必須經第二管理員審批。Stryker顯然沒設這道坎，一個人就能一鍵清場。

這有點像小區物業掌握了所有住戶的門鎖密碼。本意是方便維修，但密碼一旦泄露，整棟樓隨時被換鎖。企業用Intune這類工具時，往往追求效率優先，審批流能省則省。Handala鉆的就是這個空子。

沒勒索，沒 malware，就是純搞心態

Stryker的聲明值得玩味：黑客沒部署惡意軟件，沒搞勒索軟件，單純"濫用訪問權限"刪數據。這種攻擊比勒索更陰損——勒索至少留條談判的縫，純破壞是連鍋端。Handala還聲稱偷了大量數據，但至今沒亮證據，FBI已經抄了他們老家。

公司說醫療設備的臨床功能正常運轉，但供應鏈、訂單、發貨系統全趴窩。這意味著醫院可能暫時訂不到新的手術器械，但已經在用的不會突然停機。這種"半殘"狀態最折磨人：既不能算重大安全事故，又實實在在影響生意。

Stryker拒絕給恢復時間表，也不回應TechCrunch的詢問。按行業慣例，這種規模的系統重建動輒數周，期間員工可能得用紙質流程干活——對一家賣數字化手術導航設備的公司來說，畫面有點諷刺。

CISA的補丁：亡羊補牢，但羊已經跑了

CISA的緊急建議總結起來三條：給高危操作加雙人審批、監控異常登錄、定期審計權限。都是基礎操作，但基礎操作往往最先被犧牲。企業IT的KPI通常是"別出事"和"別煩我"，多一道審批意味著多一層摩擦，員工投訴IT效率低時，安全團隊很難硬氣。

Handala這類組織近年活躍度和地緣政治綁定緊密。2023年以色列醫院遭類似攻擊，2024年美國水務公司被黑，手法相近：找管理工具的軟肋，不搞復雜滲透，直接造成可見混亂。對他們來說，Stryker的供應鏈中斷上了新聞，就是勝利。

有個細節：被擦除的設備包括員工個人手機。很多人習慣把私人設備連公司網絡收郵件，這次連鍋端。公司IT政策通常寫"有權擦除"，但真執行時，員工才發現同意書里的條款不是擺設。

Stryker的恢復還在進行。截至發稿，他們的訂單系統仍顯示"維護中"。一位安全研究員在社交媒體上評論："當你賣給別人手術機器人時，最好確保自己的機器人先能開機。"