导语：这可能是今年最”硬核”的执法行动——FBI 直接端掉了伊朗黑客组织的的老窝。Handala 组织此前对医疗器械巨头 Stryker 发起”物理抹除”攻击，数万台设备一夜报废。美国这次不再客气，直接域名查封！

---

一、事件概述

1.1 查封行动

当地时间 3 月 19 日，美国司法部和 FBI 联合行动，查封了两个与伊朗黑客组织 Handala 相关的网站。这两个网站此前用于：

1. 公布该组织的”战绩”
2. 曝光数十名与以色列军事和国防承包商有关联的人员信息（包括 Elbit Systems 和 NSO Group 员工）

查封公告页面已被替换为执法部门声明：”执法部门认定此域名被用于代表或协调外国政府执行恶意网络活动。美国政府已控制此域名，以阻断持续的网络攻击并防止进一步利用。“

1.2 Handala 是何方神圣？

Handala 是一个亲伊朗的黑客组织，自 2023 年 10 月 7 日哈马斯袭击事件后开始活跃。该组织被认为与伊朗情报和安全部（MOIS）存在关联。

该组织此前多次发起”数据抹除”（Wiper）攻击，目标包括：

• 以色列目标
• 美国关键基础设施
• 亲以色列的组织和个人

---

二、Stryker 攻击事件回顾

2.1 攻击概述

就在被查封前一周，Handala 刚刚”搞了个大新闻”——对美国医疗器械巨头 Stryker 发起数据抹除攻击。

Stryker 是全球领先的医疗器械公司，在数十个国家拥有超过 56,000 名员工。该公司去年还与美国国防部签署了一份价值 4.5 亿美元的医疗设备供应合同。

Handala 声称，此次攻击是对美国导弹袭击伊朗一所学校的报复（该袭击造成至少 175 人死亡，大多数是儿童）。

2.2 攻击过程（技术分析）

根据 TechCrunch 报道，Handala 的攻击手法相当”粗暴”但有效：

1. 初始入侵：攻破 Stryker 内部管理员账户，获得 Windows 网络的几乎无限访问权限
2. 权限提升：接管 Stryker 的 Intune 仪表板（用于远程管理员工笔记本电脑和移动设备）
3. 数据抹除：利用 Intune 的设备管理权限，远程删除公司及员工的大量设备数据

据报道，数千台设备被”物理抹除”——这不仅仅是数据丢失，而是设备本身变得无法使用。

截至目前，Stryker 仍在恢复其计算机和内部网络系统。

---

三、组织的”回应”

3.1 Handala 的声明

在被查封后，Handala 在其官方 Telegram 频道上发文，承认其网站被下线，但声称这是”绝望的沉默尝试”：

“这种数字侵略只会凸显我们的行动给那些压迫者和欺骗者心中注入的恐惧和焦虑。” “虽然他们试图通过审查和恐吓来抹除证据和隐藏罪行，但他们的行为只会证实我们使命的影响。追求真理的运动不会被网站下架所阻止，只会变得更加坚强。”

此外，Handala 的 X（原 Twitter）账户也于近期被封禁。

3.2 专家观点

英国独立网络间谍调查员 Nariman Gharib 认为：

“他们的组织和管理结构目前已被打乱，该组织的任何成员可能随时受到导弹袭击，就像该政权的其他网络力量一样。” “但这并不意味着他们的活动可能会停止——不。可能该组织未来会通过与伊朗革命卫队相关的媒体发布更多泄露信息。”

---

四、事件启示

4.1 医疗行业安全风险

这次事件给医疗行业敲响了警钟：

• 医疗器械公司掌握大量敏感数据
• 远程管理工具（如 Intune）一旦被攻破，破坏力巨大
• 医疗设备的”物理损坏”可能危及患者安全

4.2 执法与隐私的边界

FBI 直接查封域名的做法虽然有效，但也引发了关于网络执法边界的讨论：

• 域名查封是否能真正阻止黑客组织？
• 跨国网络犯罪执法的难度与日俱增
• “打地鼠”式的执法能否从根本上解决问题？

---

五、紫队视角

红队这波操作确实狠——不偷数据，直接”物理毁灭”。用企业自己的管理工具来”自毁长城”，这思路我给满分。

蓝队这边呢？FBI 这次反应够快，直接端老窝。但问题是：域名查封能挡住黑客吗？ Handala 分分钟可以通过其他渠道继续活动。

这事儿告诉我们：攻防从来不是一场就能打完的仗。今天查封一个域名，明天换个马甲又能重来。真正的安全，还是得从根子上做好纵深防御。

---

参考资料：

• TechCrunch 报道
• 美国司法部公告
• India Today 调查报道

版权：本文配图