Iranska hackare utförde omfattande sabotage mot medicintekniska jätten Stryker

En automatisk robotröst på svenska möter alla som ringer till det medicintekniska företaget Stryker i Sverige. ”Vi fortsätter att lösa störningarna på vårt globala nätverk,” meddelar rösten och försäkrar att det är säkert att kommunicera med anställda – men endast via telefon.

Stryker, med huvudkontor i Michigan, USA, och kontor i både Malmö och Lund, har nyligen utsatts för vad som beskrivs som den största iransk-kopplade cyberattacken någonsin under krigstid. I Sverige utvecklar företaget bland annat avancerad utrustning för hjärtstoppspatienter.

Den svenska verksamheten var sannolikt inte huvudmålet, men har ändå drabbats när hackargruppen Handala genomförde sitt massiva sabotage. Enligt gruppens egna uppgifter förstördes flera petabyte – motsvarande miljontals gigabyte – data i attacken.

Konsekvenserna blev omedelbara. Strykers anställda uppmanades att inte ansluta till företagets nätverk, och flera amerikanska sjukhus stängde tillfälligt ner Strykers kommunikationsplattform för akutvårdspersonal. Med över 50 000 anställda globalt är företagets verksamhet omfattande.

Hackargruppen Handala framställer sig som politiskt motiverade aktivister med särskilt fokus mot Israel. Namnet kommer från en välkänd palestinsk seriefigur. Men enligt flera IT-säkerhetsföretag, och enligt uppgifter även amerikanska myndigheter, är gruppen i själva verket en front för Irans underrättelsetjänst. Det israeliska säkerhetsföretaget Checkpoint har varit tydligast med att peka ut Handala som en förlängning av Irans underrättelseministerium.

Enligt hackarnas egna uttalanden var attacken en hämnd för bombningen av en flickskola i iranska Minab, där över 150 personer, de flesta barn, dödades. En växande mängd bevis tyder på att USA låg bakom denna attack.

Till skillnad från traditionella underrättelsehackare, som föredrar att arbeta i det dolda, driver Handala en offentlig blogg och är aktiva på sociala medier där de skryter om sina attacker. De hävdar att 200 000 system förstördes och att Stryker-kontor i 79 länder påverkades. Gruppen har varit känd i några år, men sabotaget mot Stryker är utan tvekan deras mest omfattande operation hittills.

”Iran har av allt att döma fortfarande en stark cyberförmåga,” konstaterade nyligen Jen Easterly, tidigare chef för USA:s cybersäkerhetsmyndighet, vid en konferens.

Varför just Stryker valdes som mål är oklart. Det kan ha varit ett opportunistiskt val – att hackarna helt enkelt hittade en sårbarhet i företagets system. Detta antyder en mer oförutsägbar hotbild, där angripare kan slå mot vilka företag eller institutioner som helst för att åstadkomma maximal skada.

Attacken skiljer sig markant från de vanligare utpressningsattackerna som genomförs av kriminella grupper för ekonomisk vinning. I sådana fall behåller angriparen kontroll över offrets data för att senare kunna ”återlämna” den mot betalning. Angreppet mot Stryker var istället ett rent sabotage, utfört med ett så kallat ”wiper”-program, ett förstörelsevirus. Liknande skadlig kod hittades på ukrainska IT-system strax före Rysslands invasion 2022.

Det amerikanska cybersäkerhetsföretaget Palo Alto Networks har varnat sina kunder om ”en ökad risk för wiper-attacker relaterade till konflikten i Iran” och identifierat Handala-gruppen som det främsta hotet.

Säkerhetspolisen pekade tidigare i år ut Iran för en attack direkt riktad mot Sverige, där en SMS-tjänst hackades och användes för massutskick av meddelanden som uppmanade till hämnd mot koranbrännare. ”Förundersökningen visar att det var den iranska staten via det iranska islamska revolutionsgardet, IRGC, som genomförde ett dataintrång hos ett svenskt företag som driver en större sms-tjänst,” förklarade åklagare Mats Ljungqvist då.

Iran anses av Säkerhetspolisen vara ett av de största cyberhoten mot Sverige, tillsammans med Ryssland och Kina. Landets cyberprogram beskrivs som ett komplext nätverk av statliga aktörer, privata IT-företag, kontrakterade hackargrupper och underrättelseofficerare. Deras operationer är ofta breda, tekniskt avancerade och inriktade mot strategiskt viktiga mål inom energi, försvar, telekommunikation, utbildning och offentlig förvaltning.

Trots upprepade försök har det inte gått att nå Strykers kontor i Malmö för en kommentar.