史赛克美国泄密事件可能源于证书被盗

新的报道显示，破坏医疗技术巨头Stryker 的网络攻击的网络攻击可能始于信息窃取恶意软件获取的凭证，而非软件漏洞。

安全周刊3 月 18 日报道，Hudson Rock首席技术官Alon Gal在信息窃取日志中发现了史赛克管理员凭证的证据，以及与该公司相关的其他微软服务和移动设备管理凭证。

这并不等于确认的取证发现，史赛克公司也没有证实这一攻击路径。在3 月 11 日提交给美国证券交易委员会的文件中中表示，该公司已发现一起影响某些IT系统的网络安全事件，该事件导致其微软环境在全球范围内受到破坏。史赛克还表示，当时没有迹象表明存在勒索软件或恶意软件，调查仍在进行中。

证据表明有效账户被滥用

最新的报道值得注意，因为它为攻击者如何获得访问权提供了更具体的理论依据。安全周刊》称，早前的报告显示，攻击者可能滥用了史赛克的微软Intune环境，入侵了一个管理员账户，并创建了一个新的全局管理员账户，据称该账户随后被用来擦除管理设备。

哈德逊岩石公司的分析增加了一个可能的上游解释：这些凭据可能在事件发生前就已经在信息窃取日志中流传。Gal 说，与 Stryker 相关的凭据似乎已有数月甚至数年之久，这表明暴露窗口可能早在 3 月 11 日事件之前就已开始。

单独的遥测增加了支持，但不是确认

3 月 12 日，Lunar Cyber 发布了一篇文章。还表示，在 2025 年的大部分时间里，它在信息窃取者日志中观察到了与 Stryker 相关的凭据，大约有 14 个凭据集被暴露，影响到 Microsoft 365 和第三方门户。

这并不能证明这些凭据被用于泄密事件，但它确实支持了一种更广泛的可能性，即与史赛克相关的访问数据在事件公开之前就已经暴露。史赛克提交的文件仍然称，事件的全部范围、性质和影响仍是未知数。

目前，最安全的框架是，新的报告已将史赛克的漏洞与可能被盗的凭证联系起来，但史赛克的调查仍在进行中，确切的入侵路径尚未得到官方证实。