Хакеры атаковали российские компании с помощью лифтовых систем
Российские компании атаковали через серверы, которые управляют лифтами, то есть контроллеры, от «Текон-автоматики», которая специализируется на разработке автоматизированных систем управления и диспетчеризации. При этом хакеры пользовались спутниковой связью Starlink компании SpaceX
Читать на полной версииЕвропейская группировка хакеров Lifting Zmiy атаковала компании через лифты, пишет РБК со ссылкой на материалы центра исследования киберугроз Solar 4RAYS ГК «Солар».
Согласно их данным, злоумышленники атаковали российские компании через серверы, которые управляют лифтами. Это так называемые контроллеры от «Текон-автоматики», которая специализируется на разработке автоматизированных систем управления и диспетчеризации. При этом хакеры пользовались спутниковой связью Starlink компании SpaceX.
Среди организаций, которые были атакованы, — госсектор, компании из IT, телекома и других отраслей. Злоумышленники пытались украсть данные государственных организаций, отмечает эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар» Дмитрий Маричев:
— Пул жертв группировки разнится, начиная от IT-компаний различных и телеком-операторов, заканчивая государственными органами и их подрядчиками. Злоумышленников интересовали конфиденциальные данные о государственных организациях, где, собственно, эти подрядчики оказывают какие-либо услуги. Это не лифтовые подрядчики, это подрядчики государственных ведомств. Оборудование, которое эксплуатировалось, лифтовое оборудование, стоит обособленно от подрядчиков и государственных органов. Просто злоумышленники воспользовались уязвимостью этого оборудования и расположили на нем серверы управления своего программного обеспечения вредоносного, через которое уже производились атаки на различные организации на территории Российской Федерации. Говоря о связи между производителями лифтового оборудования и жертвами атак, здесь нет никакой связи, просто злоумышленники использовали в качестве своего инструментария вот это уязвимое оборудование.
— Что еще может выступать в качестве такого оборудования для злоумышленников?
— Если из недавнего вспомнить, это различные роутеры. Вообще, любое оборудование, которое имеет уязвимости и на котором злоумышленники могут расположить свои серверы управления, к которому они получили доступ, с него могут производиться атаки на различные организации вне зависимости от их территориального расположения. Можно говорить даже про IoT-устройства, которые сейчас очень популярны, это устройства «умного дома». Но это уже история больше про популярное семейство вредоносного программного обеспечения. Например, ботнет использует эти IoT-устройства в качестве своих серверов управления, а уже посредством них производит массовые DDoS-атаки на различные организации.
Одна из причин уязвимости лифтовых контроллеров к кибератакам может быть обусловлена старыми паролями, полагает руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies Денис Кувшинов:
Денис Кувшинов руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies «Разные лифтовые системы, контроллеры имеют свою защиту, оболочки имеют точки авторизации. Иногда некоторые поставщики или те, кто покупают контроллеры, не меняют пароли, такое тоже может быть. Но в этом конкретном случае, скорее всего, была использована уязвимость, которая была публично раскрыта, и хакеры этим воспользовались. Если мы говорим вообще про разного рода контроллеры, а их достаточно много, это чаще всего какие-то критичные отрасли, разные критичные устройства. Они не должны иметь выход в интернет, потому что там могут быть как уязвимости, так и какие-то легкие пароли, которые хакеры могут перебрать, получить доступ и, опять же, либо повлиять на какой-нибудь технический процесс, либо получить какую-то телеметрию, либо, опять же, как в данном случае, использовать как промежуточную точку для различного рода атак».
Эксперты отмечают, что два года назад был опубликован метод взлома оборудования «Текон-автоматика». Производитель принял меры, но обнаруженные серверы управления хакеров были раскрыты уже после этого.
Таким образом, некоторые пользователи могли не сменить данные по умолчанию на устройствах либо злоумышленники подобрали новый пароль путем перебора.