Хакерская группировка Lifting Zmiy из Восточной Европы совершила ряд кибератак на Российские компании.
Хакеры взламывают диспетчерские системы управления SCADA (используются для сбора, обработки, отражения и архивирования информации в реальном времени) для домашних лифтов и размещают свои C2-серверы, используя их для атак на другие цели. Речь идёт о контроллерах «Текон-Автоматика», которые используются в разработке систем управления и диспетчеризации для лифтов. Именно поэтому хакеры получили своё условное название — «лифтеры».
От атак пострадали государственные организации, компании, которые работают в сфере информационных технологий, телекоммуникаций и других отраслях. Хакеры использовали инфраструктуру Starlink, созданную компанией SpaceX Илона Маска.
Для реализации своих атак Lifting Zmiy обращались к следующим программам:
- Reverse SSH; SSH-Snake (сетевой червь);
- SSH-IT (перехват вводимых пользователем команд);
- Mig-logcleaner (очистка журналов Linux);
- SSH-бэкдор; kerbrute (перебор аккаунтов в Active Directory);
- Responder (MitM-атаки);
- Агент фреймворка Empire;
- GSocket; proxychains3.
Злоумышленники подключаются к заражённым системам через IP-адреса различных хостинг-провайдеров, включая VPN и VPS. В ходе одной из атак были обнаружены адреса, которые используются сервисом спутниковой связи Starlink.
Специалисты Solar 4RAYS провели масштабное расследование и обнаружили в общей сложности 23 командных сервера Lifting Zmiy, из которых 14 на конец июня 2024 года были активны. Восемь из этих серверов были развернуты на взломанных программируемых логических контроллерах (ПЛК).
Эксперт центра исследования киберугроз Solar 4RAYS Дмитрий Маричев считает:
Lifting Zmiy «не ставили перед собой цель» получить контроль над самими лифтами. Размещая серверы управления на контроллерах, они, вероятно, хотели усложнить обнаружение своих операций специалистами.
Также Маричев отметил, что в 2022 году был опубликован метод взлома оборудования “Текон-Автоматика”. Производителем были приняты меры, но все обнаруженные серверы управления хакеров уже были развёрнуты. Это может говорить о том, что некоторые пользователи не изменили настройки по умолчанию на своих устройствах или все же изменили их, но злоумышленники смогли подобрать новый пароль методом перебора.
Чем опасна данная атака
Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies отметил:
В [нашей] компании также видели активность этой группировки, когда хакеры хотели скомпрометировать разработчика софта под SCADA-системы, они пытались заразить это программное обеспечение и доставить его клиентам.
Эти случаи свидетельствуют о том, что хакеры ищут новые способы атаки и разработки вредоносного ПО, чтобы обойти защиту компаний и частных лиц. Они также прилагают усилия для улучшения своих методов маскировки, чтобы избежать обнаружения и преследования.
Сейчас практически все компании, которые занимаются обслуживанием лифтов, стремятся к переходу на удаленное управление их системами. Даже на старые лифты устанавливаются дополнительные контроллеры и организуют связь до диспетчерских пунктов. Из-за этого невозможно точно определить, какое количество лифтов потенциально подвержены цифровым рискам.
По словам Максима Акимова, руководителя Центра противодействия киберугрозам Innostage SOC CyberART:
Проникновение в инфраструктуру, связанную с лифтовыми системами — это критический инцидент информационной безопасности. Важно проводить мониторинг кибербезопасности подобных систем, регулярно обновлять их программное обеспечение, тщательно проверять подрядчиков, которые потенциально могут стать точкой входа для хакеров.
Данный случай подчеркивает необходимость следования простому правилу - не подключать к интернету устройства, которые могут работать автономно. Таким образом вероятность взлома сводится к минимуму, и никакие хакеры не смогут их взломать. Не стоит создавать для злоумышленников дополнительные возможности для атак.
Специалисты Mask Safe, чтобы ваша компания не стала жертвой хакерской атаки, рекомендуют строить свою киберзащиту следующим образом:
- Внедрить защиту нового поколения – межсетевые экраны нового поколения NGFW
Если у Вас возникли дополнительные вопросы или вы хотели бы узнать больше о наших услугах и продуктах - оставьте заявку, и наши менеджеры свяжутся с Вами. Мы всегда готовы помочь Вам с выбором оптимальных решений для вашего бизнеса.
Больше полезной информации вы найдете на нашем сайте.