İran bağlantılı bir hacker grubu olan Handala Team, ABD merkezli tıbbi teknoloji şirketi Stryker'a yönelik bir siber saldırının sorumluluğunu üstlendi. Bu olay, ülkeler arasındaki savaşın başlamasından bu yana İran'ın bir Amerikan şirketine karşı gerçekleştirdiği ilk önemli siber saldırı olarak kayıtlara geçti. Michigan merkezli Stryker, çeşitli tıbbi ekipman ve teknoloji üreten büyük bir şirket. Geçmişte İran, ulusal düşmanlarına karşı "wiper" olarak bilinen, bilgisayar ağlarındaki tüm verileri silmeyi amaçlayan saldırılarla tanınıyordu; 2012'de Saudi Aramco ve 2014'te Sands Casino bu tür saldırıların kurbanı olmuştu. Savaşın başlamasından bu yana, İran liderliğini destekleyen bazı hacker grupları küçük çaplı saldırılar düzenlemiş, ancak çoğu web sitelerinin görünümünü kısa süreliğine değiştirmekle sınırlı kalmış ve büyük bir etki yaratmamıştı. Google ve Proofpoint gibi siber güvenlik şirketleri, İranlı hackerların daha çok savaşla ilgili casusluk faaliyetleri yürüttüğünü belirtmişti.
Ancak son saldırı, cihazlardaki bilgileri silen farklı bir tür saldırı olarak ortaya çıktı. Stryker'dan ismini vermek istemeyen bir çalışan, iş telefonlarının çalışmayı durdurduğunu ve iş akışının aksadığını belirtti. Handala Team, Telegram ve X hesapları üzerinden Stryker saldırısının sorumluluğunu üstlendi. Saldırının tam olarak nasıl gerçekleştirildiği net olmasa da, kamuya açık kanıtlar hackerların şirketin Microsoft Intune hesabına erişim sağladığını gösteriyor. Siber güvenlik şirketi Sophos'un tehdit istihbaratı direktörü Rafe Pilling'e göre, Handala Team'in İran İstihbarat Bakanlığı ile bağlantılı olduğu düşünülüyor ve şirketin kurumsal cihazları yönetmek için kullandığı Microsoft Intune yönetim konsoluna erişim sağlamışlar.
Bu erişimle, kayıp veya çalınan cihazları uzaktan silme özelliğini kullanarak bazı çalışanların cihazlarını fabrika ayarlarına döndürdükleri tahmin ediliyor. Stryker, yaptığı açıklamada kesintinin bir siber saldırıdan kaynaklandığını ancak kendi sistemlerinin doğrudan hacklenmediğini ve fidye yazılımının söz konusu olmadığını belirtti. Bu durum, saldırının doğrudan şirket sunucularına değil, çalışanların mobil cihaz yönetimi sistemine odaklandığını gösteriyor.
Bu saldırı, İran'ın siber saldırı stratejilerinde casusluktan doğrudan veri silme ve işleyişi aksatma eylemlerine doğru bir değişim potansiyelini işaret ediyor.