【安全资讯】FBI与CISA就伊朗黑客组织利用微软Intune攻击医疗设备公司发出警告

概要：

近日，美国联邦调查局（FBI）和网络安全与基础设施安全局（CISA）联合发布安全警报，针对一起与伊朗有关的网络攻击事件发出警告。此次攻击针对密歇根州医疗设备公司Stryker，攻击者并未使用传统恶意软件，而是通过入侵微软设备管理系统Intune，远程清除了超过20万台公司设备的数据，导致公司运营严重受阻，影响波及美国、爱尔兰、印度等多国工厂。

主要内容：

此次攻击由名为Handala的黑客组织发起，其攻击手法并非依赖恶意软件感染，而是通过攻破微软Intune这一合法的云端设备管理平台。Intune作为企业统一管理网络内所有设备的核心工具，一旦其管理员权限被窃取，攻击者便能以合法身份执行破坏性操作。

攻击者利用Intune的“设备擦除”等高权限功能，大规模清除了Stryker公司的终端设备数据。这不仅导致员工无法访问关键业务系统，甚至波及部分员工安装在个人设备上的Intune客户端，致使个人数据一同被抹除。这凸显了企业级管理工具配置不当所带来的巨大风险。

为应对此类威胁，CISA强烈建议所有使用Intune的组织立即采纳微软最新发布的安全最佳实践。关键措施包括：实施基于角色的访问控制（RBAC），为不同职能分配最小必要权限；对所有账户启用多因素认证（MFA）并集成Microsoft Entra ID；建立敏感操作（如设备擦除）需二次管理员审批的策略。

事件发生后，美国执法部门已采取行动，查封了与Handala组织相关的网站，以阻断其持续进行的恶意网络活动。此次事件表明，与国家级行为体关联的APT组织正越来越多地瞄准并滥用企业核心IT管理工具，其造成的业务中断和数据损失影响深远，对医疗科技等重点行业构成严峻挑战。