Хакерская группировка из Восточной Европы Lifting Zmiy атаковала российские компании через серверы, которые управляют лифтами в подъездах. Об этом со ссылкой на материалы центра исследования киберугроз Solar 4RAYS ГК «Солар» пишет РБК.
Злоумышленники взламывали контроллеры, входящие в состав SCADA‑систем (предназначены для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления), и размещали на них серверы, используемые в атаках на другие цели.
Речь о контроллерах «Текон‑Автоматика», поставщика решений для лифтов. Компания специализируется на разработке автоматизированных систем управления и диспетчеризации, которые используют в том числе в конструкции лифтов, что дало название группировке, отметили в «Солар». Среди организаций, которые атаковали через эту уязвимость, — госсектор, компании из IT, телекома и других отраслей. При этом атакующие в своих операциях использовали инфраструктуру провайдера Starlink компании SpaceX Илона Маска.
Представитель «Солара» подчеркнул, что атак на сами лифты не было, хотя в целом уязвимость позволяла получить контроль над оборудованием. «Важно учитывать, что лифты — это сложные многокомпонентные системы и взлома одного компонента, скорее всего, недостаточно, чтобы повлиять непосредственно на работу оборудования. И, скорее всего, Lifting Zmiy не ставили перед собой такой цели. Размещая серверы управления на контроллерах, они, вероятно, хотели усложнить обнаружение своих операций специалистами», — рассуждает эксперт центра исследования киберугроз Solar 4RAYS Дмитрий Маричев.
В 2022 году опубликовали метод взлома этого оборудования, который предполагает, что успешно авторизовавшись и написав специальный плагин, атакующий может получить доступ, например, к связи с диспетчером, данным с разных датчиков и т. п. После этого производитель принял меры — убрал со своего сайта логин и пароль по умолчанию.
Все обнаруженные специалистами серверы управления хакеров развернули уже после этого, что может означать, что либо некоторые пользователи этих систем не сменили данные по умолчанию на устройствах, либо сменили, но злоумышленники подобрали новый пароль перебором, отметил Маричев. «Мы рекомендуем всем организациям, которые используют такое оборудование, принять меры по дополнительной защите от таких атак: провести оценку компрометации IT‑инфраструктуры и усилить парольные политики, и как минимум ввести двухфакторную аутентификацию», — подчеркнул он.
Лифты, подключённые к интернету или другим сетям передачи данных, действительно могут быть подвержены хакерским атакам, так как при их эксплуатации используют программное обеспечение и электронные компоненты, которые потенциально могут содержать уязвимости, отметил руководитель Центра противодействия киберугрозам Innostage SOC CyberART Максим Акимов.
Воспользовавшись ими, злоумышленники получат доступ к системе управления лифтом, смогут вызывать сбои и иные сценарии некорректной работы внутридомового оборудования. Некоторые лифты, по словам Акимова, используют беспроводные технологии для связи с диспетчерскими пунктами или другими устройствами, и эти системы также могут быть уязвимыми для взлома.
Гендиректор «Стингрей Технолоджиз» Юрий Шабалин назвал максимальной неприятностью при подобных взломах необходимость ходить по лестнице, пока лифт не работает. «Но этот инцидент подчёркивает важность универсального правила: не нужно подключать к интернету устройства, которые могут работать автономно, тогда никакие хакеры их в принципе не взломают. Не нужно создавать для злоумышленников дополнительные векторы атак», — считает Шабалин.
Источник: habr.com
Похожие новости:
Positive Technologies сообщила о 10 популярных техник атак, используемых вредоносным ПО в России
BI.ZONE представила ИБ‑исследование Threat Zone 2024, посвящённое российскому ландшафту киберугроз и хаккластеров
Обзор IT-Weekly: автоматизация подбора одежды, МТС Линк адаптировался для незрячих пользователей
Обзор изменений в законодательстве за март 2024 года