这个巨头遭攻击，中东战争外溢至美国本土

伊朗成功发动了一场网络攻击，这很可能是美国有史以来遭遇的最严重的战时网络攻击。此次攻击动用了黑客力量，导致全球医疗设备巨头史赛克(Stryker)的运营发生严重中断，近日来该公司一直难以恢复正常运营。

这场袭击标志着原本局限于海湾的冲突已外溢至美国本土，也预示着面对美国和以色列的军事行动，伊朗可能会如何扩大回应范围。

在此次黑客攻击中受创的史赛克总部位于密歇根州。该公司称经历了“全球性中断”，并已迅速加以控制。该公司已表示，相信此次事件仅限于其内部的微软(Microsoft)系统。该公司还称，一些医院的医疗数据传输可能会出现暂时停顿，但其联网产品“未受影响，可以安全使用”。微软尚未就此次黑客攻击置评。

官员们常说，存在两种最令人担忧的情境，一是煽动个人在国内发动恐怖主义行为，二是对美国企业或关键基础设施发动大规模破坏性网络攻击。

前官员和安全专家表示，通过对史赛克的攻击，伊朗兑现了后一种威胁，并将网络武器作为战时行动的一部分，以削弱美国继续参战的决心。

“在我们深度参与的长期冲突中，这是第一次真正看到双方都将网络行动和实体军事行动融合起来，”曾在联邦调查局(Federal Bureau of Investigation)担任高级网络官员、现为网络公司Halcyon高级副总裁的辛西娅·凯泽(Cynthia Kaiser)说。美国官员已公开表示，上月底第一波军事打击中就包含了进攻性网络行动。

史赛克生产关节植入物、机器人手术系统及其他医疗设备和器械。该公司上周三通知其约56,000名员工断开所有网络连接，并避免开启公司配发的设备。包括美国、爱尔兰和澳大利亚在内的全球各地员工在Reddit的一个帖子中抱怨此事。

目前尚不清楚史赛克是一个偶然的目标，还是黑客蓄意选择攻击的目标。图片来源：KRISTEN NORMAN/BLOOMBERG NEWS

一些医院在网上声明中表示，由于此次黑客攻击，他们不得不暂停使用一个允许急救服务人员传输患者生命体征数据的系统。史赛克称，该系统名为Lifenet，当时运作正常。

史赛克表示，有几家医院和急救服务提供商自行选择暂停使用Lifenet系统，但这并非公司的指示，也不是因为网络攻击导致该系统出现任何中断。

史赛克周日表示，电子订购系统无法使用，但在恢复运营方面正稳步取得进展。该公司正优先恢复直接支持客户、订购和发货的系统。

“这一事件凸显了当今企业面临的更广泛的威胁，”史赛克首席执行官凯文·洛博(Kevin Lobo)说。

关于他在伊朗的最终目标，以及他认为美以军事行动将于何时或如何结束，美国总统川普(Trump)释放出了互相矛盾的信号。在这种不确定的情况下，前美国官员和安全专家表示，预计美国将遭受更多网络攻击。

“尽管面临持续的军事压力，但据我们所知，伊朗仍然拥有相当强大的网络能力，”拜登政府时期的网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)前局长珍·伊斯特利(Jen Easterly)上周三在《华尔街日报》科技现场网络安全(WSJ Tech Live Cybersecurity)活动的一次谈话中说。她表示，伊朗黑客过去曾试图攻击运营供水、供电和医疗健康系统的关键基础设施供应商，但所有私营企业都应认为自己正面临风险。

“每一位企业领导者都应该自问，‘就业务中断而言，最坏的情况是什么？’”伊斯特利说。

尽管不及中国或俄罗斯黑客老练，但伊朗分散的数字战士网络长期以来一直被西方安全官员视为一个更难预测的网络对手——一个愿意制造混乱的对手，尤其是在政权感到受威胁的时候。

根据美国的情报评估，在过去两个选举周期中，伊朗曾试图影响美国总统选举，包括试图泄露被黑的政治邮件，但其行动通常显得笨拙或毫无章法。伊朗通常不使用定制的黑客工具，而是依赖较粗糙的手段来达成目的，例如鱼叉式网络钓鱼活动。

但据追踪伊朗行动的现任和前任官员及网络安全专家称，除少数例外，德黑兰过去的网络攻击往往雷声大，雨点小。美国政府先前曾多次警告伊朗可能以网络攻击方式对美国利益实施报复——包括在去年夏天针对伊朗核设施的“午夜之锤”(Midnight Hammer)打击行动和2020年一名伊朗军事领导人被暗杀之后，但这些警告之后并未发生重大中断事件。

声称对史赛克攻击事件负责的组织Handala伪装成一个独立的黑客活动组织，但西方网络安全专家和美国官员表示，该组织为伊朗政府效力。以色列网络公司Check Point在上周四发布的研究报告中称，Handala实际上隶属于伊朗情报与国家安全部(MOIS)，即德黑兰的中央间谍机构。美国官员也持此观点。

Check Point的办公室主任吉尔·梅辛(Gil Messing)表示，Handala是MOIS的主要网络攻击组织，“处于伊朗国家网络战的前沿”，在攻击复杂性方面仅次于伊斯兰革命卫队(Islamic Revolutionary Guard Corps)。该组织过去的大部分活动集中在以色列和海湾地区其他国家，但最近已将目标扩大到欧洲和美国。

“他们代表了伊朗网络能力的很大一部分，并专注于该国的敌人，”梅辛说。

史赛克在上周三发给员工的一份通知中表示，尚未确定此次入侵的原因。调查人员认为，一种可能性是黑客通过网络钓鱼等攻击方式，获取了一名员工或合同工的登录凭证。这将使黑客能够访问Microsoft Intune服务的公司控制权限，该服务被公司用于远程管理其网络上的设备。获得此类访问权限后，就有可能清除数万台设备上的数据。

史赛克在内部通讯中建议员工不要点击可疑链接，并敦促立即从手机中删除移动设备管理应用和工作配置文件。有史赛克员工发现，运行微软Windows操作系统的手机和笔记本电脑数据已被清除。

目前尚不清楚史赛克是一个偶然的目标，还是黑客蓄意选择攻击的目标。Handala在其Telegram频道的一个帖子中称，此次黑客攻击是为了报复对伊朗一所小学的袭击。伊朗官方媒体称，该次袭击造成160多人死亡，其中包括许多儿童。《华尔街日报》(The Wall Street Journal)曾报道，五角大楼正在调查此次袭击，并认为美国很可能对此负责。

自当前战争开始以来，有关疑似伊朗黑客活动的报道就层出不穷，包括针对阿尔巴尼亚政府电子邮件系统的攻击，以及针对波兰一个核研究组织的入侵企图，还有在海湾地区的其他活动。有专家表示，这些活动的影响和破坏性都远不及对史赛克的攻击。

从历史上看，伊朗更倾向于隐藏其网络行动。但最近，Handala和其他组织试图通过向公众发布威胁信息来放大实际造成的破坏，以便在受害者和更广泛的公众中制造脆弱感。