Napad koristi legitimnu Microsoft Intune remote-wipe funkcionalnost; CISA uvodi obvezu dual-admin provjere
AI ilustracija
Napad na Stryker Corporation koji je hacktivist grupa Handala (Iran/MOIS, alias Void Manticore) izvela 11. ožujka 2026. tek sada dobiva punu industrijsku pažnju kroz postmortem analize sigurnosnih istraživača. Razlog zašto incident ostaje relevantna tema i dva mjeseca nakon događaja jest tehnika napada jer Handala nije koristila nikakav malware, nijedan zero-day exploit, nikakav vlastiti kod. Koristila je isključivo legitimnu Microsoft Intune remote-wipe funkcionalnost isti mehanizam koji IT administratori koriste kada zaposlenik izgubi uređaj.
Napad je bio jednostavan u koncepciji, katastrofičan u učinku: Handala je stekla pristup Strykerovu Microsoft Intune administrator accountu još uvijek nije javno poznato kako, ali vjerojatno kombinacijom credential phishinga i zaobilaženja MFA i zatim je kroz Intune upravljačku konzolu simultano izdala remote-wipe naredbu za sve enrolled uređaje globalno. Rezultat: istovremeno brisanje tvorničkih postavki na više od 200.000 laptopa, radnih stanica, mobilnih uređaja i servera u 79 zemalja u roku od nekoliko minuta. Stryker-ovi uredi u svim tim državama odjednom su imali "dark" ekrane s Handala logom umjesto login ekrana.
Handala je tvrdila da je iz sustava ekstrahirala 50 TB podataka prije brisanja što nije neovisno potvrđeno. Kompanija nije potvrdila točan broj "wiped" uređaja. CISA je potvrdila da pruža tehničku pomoć i istražuje incident. US DHS je procjenjivao downstream utjecaj na pacijentsku skrb jer Stryker proizvodi medicinsku opremu.
Sigurnosne implikacije koje industrija izvlači: "living off the land" napadi koji zloupotrebljavaju legitimne enterprise IT alate (Microsoft Intune, RMM software, Active Directory, PowerShell) postaju dominantna taktika jer zaobilaze endpoint detekciju koja traži malware ili neobičan kod. CISA preporučena mjera kao direktna reakcija na Stryker incident: zahtijevati odobrenje drugog administratora za svaku masovnu device akciju u MDM/UEM sustavima principle of "dual control" koji se dugo primjenjivao u financijskim .
Napad na Stryker Corporation koji je hacktivist grupa Handala (Iran/MOIS, alias Void Manticore) izvela 11. ožujka 2026. tek sada dobiva punu industrijsku pažnju kroz postmortem analize sigurnosnih istraživača. Razlog zašto incident ostaje relevantna tema i dva mjeseca nakon događaja jest tehnika napada jer Handala nije koristila nikakav malware, nijedan zero-day exploit, nikakav vlastiti kod. Koristila je isključivo legitimnu Microsoft Intune remote-wipe funkcionalnost isti mehanizam koji IT administratori koriste kada zaposlenik izgubi uređaj.
Microsoft je 13. svibnja 2026. izdao Patch Tuesday koji zakrpava između 118 i 138 sigurnosnih ranjivosti (razlika u broju ovisi o metodi broja uključivanje ili isključivanje ranjivosti koje zahtijevaju "no customer action"). Najznačajnija karakteristika ovog Patch Tuesdaya: nijedna ranjivost nije bila javno poznata ili aktivno exploitana u trenutku objavljivanja što je prva takva situacija od lipnja 2024. To nije sign-off za opuštenost; to je relativna statistička anomalija koja se ne može pouzdano projicirati u budućnost.
Canvas LMS, platforma za upravljanje učenjem u vlasništvu kompanije Instructure, postala je meta napada koji je Wikipedia već definirala kao "2026 Canvas security incident" i označila ga najvećim obrazovnim sigurnosnim incidentom u snimljenom povijesti po globalnom opsegu. Napad je pogodio 8.809 sveučilišta, obrazovnih ministarstava i institucija u cijelom svijetu, uključujući Columbia, Princeton, Harvard i Georgetown u SAD-u.
