CISA алармира за нов тип заплаха чрез системи за управление на крайни устройства

Американската агенция CISA издаде спешно предупреждение към организациите в САЩ след разрушителна кибератака срещу Stryker Corporation. Инцидентът разкрива опасна тенденция – злоупотреба с легитимни административни инструменти като вектор за масови щети, вместо класически зловреден код.

Атаката е насочена към среда, базирана на Microsoft Intune – облачна платформа за управление на крайни устройства, широко използвана в корпоративния сектор.

Как е проведена атаката: компрометиран администратор и масово изтриване

Според наличната информация, атакуващите са действали по добре познат, но изключително ефективен сценарий:

• Компрометиране на администраторски акаунт

• Създаване на нов профил с Global Administrator права

• Използване на легитимни функции на Intune за изпълнение на wipe команда

Резултатът е критичен – близо 80 000 устройства са били изтрити дистанционно, което представлява една от най-мащабните атаки чрез endpoint management платформа до момента.

Преди това атакуващите твърдят, че са ексфилтрирали около 50 TB чувствителни данни.

Кой стои зад атаката: хактивизъм с геополитически оттенък

Отговорност за атаката поема групата Handala – хактивистка организация с предполагаеми връзки с ирански структури. Групата е активна от края на 2023 г. и е известна с:

• Атаки срещу израелски организации

• Използване на wipe malware за Windows и Linux

• Кражба и публично изтичане на чувствителна информация

Този случай показва, че границата между киберпрестъпност и геополитически мотивирани операции става все по-размита.

Основният проблем: доверие в администраторите вместо сигурност по дизайн

Атаката срещу Stryker не експлоатира класическа уязвимост, а системен пропуск в управлението на привилегии. Това подчертава ключов проблем:

Организациите продължават да разчитат на „доверени администратори“, вместо на архитектура с вградена сигурност.

В този контекст Microsoft публикува насоки за засилване на защитата, фокусирани върху:

• Принцип на минималните привилегии (least privilege)

• Role-Based Access Control (RBAC)

• Многофакторна автентикация (MFA)

• Контрол върху привилегирован достъп чрез Microsoft Entra ID

• Многостепенно одобрение за критични действия (например wipe операции)

Новата реалност: легитимните инструменти като най-опасен вектор

Случаят демонстрира фундаментална промяна в киберзаплахите:

• Не е необходим зловреден код, когато атакуващият контролира администраторски акаунт

• Endpoint management системите се превръщат в „оръжия“

• Щетите могат да бъдат моментални и мащабни

Това е част от по-широка тенденция, при която атаките се фокусират върху:

• Идентичности (identity-based attacks)

• Достъп (access abuse)

• Легитимни функции (living-off-the-land техники)

Какво препоръчва CISA: преход към Zero Trust модел

Препоръките на CISA могат да се обобщят като преход към Zero Trust подход:

• Стриктно ограничаване на администраторските права

• Задължително MFA за всички привилегировани акаунти

• Използване на условен достъп и анализ на риска

• Многоадминистраторско одобрение за критични операции

• Постоянен мониторинг на административни действия

Комбинацията от тези мерки цели да намали щетите дори при компрометиране на акаунт.

Aтака, която променя правилата на играта

Инцидентът със Stryker ясно показва, че най-голямата заплаха вече не идва от експлойти, а от злоупотреба с доверие и достъп.

Когато атакуващият придобие администраторски контрол, инфраструктурата сама се превръща в инструмент за разрушение.

Това налага фундаментална промяна в подхода към сигурността – от защита на периметъра към контрол на идентичностите, достъпа и действията в реално време.