Хакерская группа Lifting Zmiy, действующая из Восточной Европы, осуществила серию кибератак на Российские компании, используя уязвимости в системах управления лифтами. Эти атаки, как сообщает исследовательский центр киберугроз Solar 4RAYS, затронули как государственные учреждения, так и частные компании в сферах информационных технологий и телекоммуникаций.
В своих действиях злоумышленники использовали контроллеры, входящие в состав SCADA-систем, которые предназначены для мониторинга и управления различными процессами в реальном времени.
Методы атак
Злоумышленники осуществляли взлом контроллеров, производимых компанией «Текон-Автоматика», специализирующейся на автоматизации систем управления лифтами. После успешного взлома они устанавливали на этих контроллерах свои серверы, которые затем использовались для атак на другие организации.
Важно отметить, что, несмотря на возможность получения контроля над оборудованием, хакеры не проводили атак непосредственно на лифты, так как для этого требовались бы дополнительные действия.
Инфраструктура и цели
Для своих операций Lifting Zmiy использовали инфраструктуру Starlink, принадлежащую компании SpaceX, что позволило им скрыть свое местоположение и затруднить отслеживание.
Эксперт Дмитрий Маричев из Solar 4RAYS предположил, что основной целью хакеров было скрыть свои действия, разместив серверы на контроллерах, что затрудняло их обнаружение.
Уязвимости и рекомендации
В 2022 году был опубликован метод, позволяющий взломать контроллеры, что привело к тому, что производитель убрал стандартные логины и пароли с сайта. Однако все установленные серверы были обнаружены после этого, что указывает на то, что пользователи не обновили свои пароли или хакеры смогли подобрать их через перебор.
Маричев призвал организации, использующие такие системы, усилить меры безопасности, включая регулярную оценку уязвимостей и внедрение двухфакторной аутентификации.
Реакция и наблюдения
Денис Кувшинов из Positive Technologies также отметил, что они наблюдали активность этой группы, когда хакеры пытались скомпрометировать разработчика программного обеспечения для SCADA-систем. К счастью, производитель вовремя заметил попытки вмешательства.
Кувшинов подчеркнул, что интерес к взлому программного обеспечения для автоматизированных систем управления продолжает расти, что требует повышенного внимания со стороны специалистов по информационной безопасности.
Атаки группы Lifting Zmiy подчеркивают важность повышения уровня кибербезопасности в организациях, использующих системы управления, и необходимость внедрения современных методов защиты для предотвращения подобных инцидентов в будущем.