Хакерская группировка из Восточной Европы Lifting Zmiy атаковала российские компании через серверы, которые управляют лифтами в подъездах, следует из материалов центра исследования киберугроз Solar 4RAYS ГК «Солар», с которым ознакомился РБК.
Злоумышленники взламывали контроллеры, входящие в состав SCADA-систем (предназначены для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления), и размещали на них серверы, используемые в атаках на другие цели. Речь о контроллерах «Текон-Автоматика», компании — поставщика решений для лифтов. Она специализируется на разработке автоматизированных систем управления и диспетчеризации, которые используются в том числе в конструкции лифтов, что дало название группировке, отметили в «Солар». Среди организаций, которые были атакованы через указанную уязвимость, — госсектор, компании из IT, телекома и других отраслей. При этом атакующие в своих операциях использовали инфраструктуру провайдера Starlink компании SpaceX Илона Маска.
РБК направил запрос в «Текон-Автоматику».
Представитель «Солара» подчеркнул, что атак на сами лифты не было, хотя в целом уязвимость позволяла получить контроль над оборудованием. «Важно учитывать, что лифты — это сложные многокомпонентные системы и взлома одного компонента, скорее всего, недостаточно, чтобы повлиять непосредственно на работу оборудования. И, скорее всего, Lifting Zmiy не ставили перед собой такой цели. Размещая серверы управления на контроллерах, они, вероятно, хотели усложнить обнаружение своих операций специалистами», — рассуждает эксперт центра исследования киберугроз Solar 4RAYS Дмитрий Маричев.
Он отметил, что в 2022 году был опубликован метод взлома этого оборудования, который предполагает, что успешно авторизовавшись и написав специальный плагин, атакующий может получить доступ, например, к связи с диспетчером, данным с разных датчиков и т.п. После этого производитель принял меры — убрал со своего сайта логин и пароль по умолчанию. Все обнаруженные специалистами серверы управления хакеров были развернуты уже после этого, что может означать, что либо некоторые пользователи этих систем не сменили данные по умолчанию на устройствах, либо сменили, но злоумышленники подобрали новый пароль перебором, отметил Маричев. «Мы рекомендуем всем организациям, которые используют такое оборудование, принять меры по дополнительной защите от таких атак: провести оценку компрометации IT-инфраструктуры и усилить парольные политики, и как минимум ввести двухфакторную аутентификацию», — подчеркнул он.
Руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies Денис Кувшинов отметил, что в компании также видели активность этой группировки, когда хакеры хотели скомпрометировать разработчика софта под SCADA-системы, пытались заразить это программное обеспечение и доставить его клиентам. «К счастью, это не удалось — производитель вовремя заметил неладное», — рассказал эксперт. По его словам, эти два кейса демонстрируют, что хакеры ищут все более эффективные способы доставки вредоносного программного обеспечения клиентам, а также стараются максимально скрыть свою активность за счет взлома легитимных систем. «Интерес ко взлому софта, связанного с автоматизированной системой управления технологическим процессом (АСУТП), растет, и это требует все большего внимания производителей и специалистов информационной безопасности», — говорит Кувшинов.
Лифты, подключенные к интернету или другим сетям передачи данных, действительно могут быть подвержены хакерским атакам, так как при их эксплуатации используется программное обеспечение и электронные компоненты, которые потенциально могут содержать уязвимости, отметил руководитель Центра противодействия киберугрозам Innostage SOC CyberART Максим Акимов. Воспользовавшись ими, злоумышленники получат доступ к системе управления лифтом, смогут вызывать сбои и иные сценарии некорректной работы внутридомового оборудования. Некоторые лифты, по словам Акимова, используют беспроводные технологии для связи с диспетчерскими пунктами или другими устройствами, и эти системы также могут быть уязвимыми для взлома.
Он указал, что практически все организации, обслуживающие лифты, стремятся к организации удаленного управления их системами. «Даже на старые лифты устанавливаются дополнительные контроллеры и организуют связь до диспетчерских пунктов. Поэтому точное количество лифтов, потенциально находящихся в зоне цифровых рисков, оценить невозможно», — отметил Акимов. По его словам, проникновение в инфраструктуру, связанную с лифтовыми системами — это критический инцидент информационной безопасности, важно проводить мониторинг кибербезопасности подобных систем, регулярно обновлять их программное обеспечение, тщательно проверять подрядчиков, которые потенциально могут стать точкой входа для хакеров.
Гендиректор «Стингрей Технолоджиз» Юрий Шабалин (входит в ГК Swordfish Security) назвал максимальной неприятностью при подобных взломах — необходимость ходить по лестнице, пока лифт не работает. «Но этот инцидент подчеркивает важность универсального правила: не нужно подключать к интернету устройства, которые могут работать автономно, тогда никакие хакеры их в принципе не взломают. Не нужно создавать для злоумышленников дополнительные векторы атак», — считает Шабалин.
Злоумышленники взламывали контроллеры, входящие в состав SCADA-систем (предназначены для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления), и размещали на них серверы, используемые в атаках на другие цели. Речь о контроллерах «Текон-Автоматика», компании — поставщика решений для лифтов. Она специализируется на разработке автоматизированных систем управления и диспетчеризации, которые используются в том числе в конструкции лифтов, что дало название группировке, отметили в «Солар». Среди организаций, которые были атакованы через указанную уязвимость, — госсектор, компании из IT, телекома и других отраслей. При этом атакующие в своих операциях использовали инфраструктуру провайдера Starlink компании SpaceX Илона Маска.
РБК направил запрос в «Текон-Автоматику».
Представитель «Солара» подчеркнул, что атак на сами лифты не было, хотя в целом уязвимость позволяла получить контроль над оборудованием. «Важно учитывать, что лифты — это сложные многокомпонентные системы и взлома одного компонента, скорее всего, недостаточно, чтобы повлиять непосредственно на работу оборудования. И, скорее всего, Lifting Zmiy не ставили перед собой такой цели. Размещая серверы управления на контроллерах, они, вероятно, хотели усложнить обнаружение своих операций специалистами», — рассуждает эксперт центра исследования киберугроз Solar 4RAYS Дмитрий Маричев.
Он отметил, что в 2022 году был опубликован метод взлома этого оборудования, который предполагает, что успешно авторизовавшись и написав специальный плагин, атакующий может получить доступ, например, к связи с диспетчером, данным с разных датчиков и т.п. После этого производитель принял меры — убрал со своего сайта логин и пароль по умолчанию. Все обнаруженные специалистами серверы управления хакеров были развернуты уже после этого, что может означать, что либо некоторые пользователи этих систем не сменили данные по умолчанию на устройствах, либо сменили, но злоумышленники подобрали новый пароль перебором, отметил Маричев. «Мы рекомендуем всем организациям, которые используют такое оборудование, принять меры по дополнительной защите от таких атак: провести оценку компрометации IT-инфраструктуры и усилить парольные политики, и как минимум ввести двухфакторную аутентификацию», — подчеркнул он.
Руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies Денис Кувшинов отметил, что в компании также видели активность этой группировки, когда хакеры хотели скомпрометировать разработчика софта под SCADA-системы, пытались заразить это программное обеспечение и доставить его клиентам. «К счастью, это не удалось — производитель вовремя заметил неладное», — рассказал эксперт. По его словам, эти два кейса демонстрируют, что хакеры ищут все более эффективные способы доставки вредоносного программного обеспечения клиентам, а также стараются максимально скрыть свою активность за счет взлома легитимных систем. «Интерес ко взлому софта, связанного с автоматизированной системой управления технологическим процессом (АСУТП), растет, и это требует все большего внимания производителей и специалистов информационной безопасности», — говорит Кувшинов.
Лифты, подключенные к интернету или другим сетям передачи данных, действительно могут быть подвержены хакерским атакам, так как при их эксплуатации используется программное обеспечение и электронные компоненты, которые потенциально могут содержать уязвимости, отметил руководитель Центра противодействия киберугрозам Innostage SOC CyberART Максим Акимов. Воспользовавшись ими, злоумышленники получат доступ к системе управления лифтом, смогут вызывать сбои и иные сценарии некорректной работы внутридомового оборудования. Некоторые лифты, по словам Акимова, используют беспроводные технологии для связи с диспетчерскими пунктами или другими устройствами, и эти системы также могут быть уязвимыми для взлома.
Он указал, что практически все организации, обслуживающие лифты, стремятся к организации удаленного управления их системами. «Даже на старые лифты устанавливаются дополнительные контроллеры и организуют связь до диспетчерских пунктов. Поэтому точное количество лифтов, потенциально находящихся в зоне цифровых рисков, оценить невозможно», — отметил Акимов. По его словам, проникновение в инфраструктуру, связанную с лифтовыми системами — это критический инцидент информационной безопасности, важно проводить мониторинг кибербезопасности подобных систем, регулярно обновлять их программное обеспечение, тщательно проверять подрядчиков, которые потенциально могут стать точкой входа для хакеров.
Гендиректор «Стингрей Технолоджиз» Юрий Шабалин (входит в ГК Swordfish Security) назвал максимальной неприятностью при подобных взломах — необходимость ходить по лестнице, пока лифт не работает. «Но этот инцидент подчеркивает важность универсального правила: не нужно подключать к интернету устройства, которые могут работать автономно, тогда никакие хакеры их в принципе не взломают. Не нужно создавать для злоумышленников дополнительные векторы атак», — считает Шабалин.