Перейти к основному контенту
Как защититься от мошенников ,  
0 
Эксклюзив

Хакеры атаковали российские компании через взломанные системы для лифтов

Хакеры атаковали IT-компании через взломанные системы для лифтов, за что получили прозвище «лифтеры». Управление самими лифтами они не нарушили, хотя теоретически у них могла быть такая возможность
Фото: Patrick Lux / Getty Images
Фото: Patrick Lux / Getty Images

Хакерская группировка из Восточной Европы Lifting Zmiy атаковала российские компании через серверы, которые управляют лифтами в подъездах, следует из материалов центра исследования киберугроз Solar 4RAYS ГК «Солар», с которым ознакомился РБК.

Злоумышленники взламывали контроллеры, входящие в состав SCADA-систем (предназначены для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления), и размещали на них серверы, используемые в атаках на другие цели. Речь о контроллерах «Текон-Автоматика», компании — поставщика решений для лифтов. Она специализируется на разработке автоматизированных систем управления и диспетчеризации, которые используются в том числе в конструкции лифтов, что дало название группировке, отметили в «Солар». Среди организаций, которые были атакованы через указанную уязвимость, — госсектор, компании из IT, телекома и других отраслей. При этом атакующие в своих операциях использовали инфраструктуру провайдера Starlink компании SpaceX Илона Маска.

РБК направил запрос в «Текон-Автоматику».

В МИДе рассказали о «практически ежедневных» хакерских атаках
Политика

Представитель «Солара» подчеркнул, что атак на сами лифты не было, хотя в целом уязвимость позволяла получить контроль над оборудованием. «Важно учитывать, что лифты — это сложные многокомпонентные системы и взлома одного компонента, скорее всего, недостаточно, чтобы повлиять непосредственно на работу оборудования. И, скорее всего, Lifting Zmiy не ставили перед собой такой цели. Размещая серверы управления на контроллерах, они, вероятно, хотели усложнить обнаружение своих операций специалистами», — рассуждает эксперт центра исследования киберугроз Solar 4RAYS Дмитрий Маричев.

Он отметил, что в 2022 году был опубликован метод взлома этого оборудования, который предполагает, что успешно авторизовавшись и написав специальный плагин, атакующий может получить доступ, например, к связи с диспетчером, данным с разных датчиков и т.п. После этого производитель принял меры — убрал со своего сайта логин и пароль по умолчанию. Все обнаруженные специалистами серверы управления хакеров были развернуты уже после этого, что может означать, что либо некоторые пользователи этих систем не сменили данные по умолчанию на устройствах, либо сменили, но злоумышленники подобрали новый пароль перебором, отметил Маричев. «Мы рекомендуем всем организациям, которые используют такое оборудование, принять меры по дополнительной защите от таких атак: провести оценку компрометации IT-инфраструктуры и усилить парольные политики, и как минимум ввести двухфакторную аутентификацию», — подчеркнул он.

Чем грозит атака 

Руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies Денис Кувшинов отметил, что в компании также видели активность этой группировки, когда хакеры хотели скомпрометировать разработчика софта под SCADA-системы, пытались заразить это программное обеспечение и доставить его клиентам. «К счастью, это не удалось — производитель вовремя заметил неладное», — рассказал эксперт. По его словам, эти два кейса демонстрируют, что хакеры ищут все более эффективные способы доставки вредоносного программного обеспечения клиентам, а также стараются максимально скрыть свою активность за счет взлома легитимных систем. «Интерес ко взлому софта, связанного с автоматизированной системой управления технологическим процессом (АСУТП), растет, и это требует все большего внимания производителей и специалистов информационной безопасности», — говорит Кувшинов.

Эксперты сообщили о кампании кибершпионажа против IТ-компаний
Технологии и медиа
Фото:Михаил Гребенщиков / РБК

Лифты, подключенные к интернету или другим сетям передачи данных, действительно могут быть подвержены хакерским атакам, так как при их эксплуатации используется программное обеспечение и электронные компоненты, которые потенциально могут содержать уязвимости, отметил руководитель Центра противодействия киберугрозам Innostage SOC CyberART Максим Акимов. Воспользовавшись ими, злоумышленники получат доступ к системе управления лифтом, смогут вызывать сбои и иные сценарии некорректной работы внутридомового оборудования. Некоторые лифты, по словам Акимова, используют беспроводные технологии для связи с диспетчерскими пунктами или другими устройствами, и эти системы также могут быть уязвимыми для взлома.

Он указал, что практически все организации, обслуживающие лифты, стремятся к организации удаленного управления их системами. «Даже на старые лифты устанавливаются дополнительные контроллеры и организуют связь до диспетчерских пунктов. Поэтому точное количество лифтов, потенциально находящихся в зоне цифровых рисков, оценить невозможно», — отметил Акимов. По его словам, проникновение в инфраструктуру, связанную с лифтовыми системами — это критический инцидент информационной безопасности, важно проводить мониторинг кибербезопасности подобных систем, регулярно обновлять их программное обеспечение, тщательно проверять подрядчиков, которые потенциально могут стать точкой входа для хакеров.

Гендиректор «Стингрей Технолоджиз» Юрий Шабалин (входит в ГК Swordfish Security) назвал максимальной неприятностью при подобных взломах — необходимость ходить по лестнице, пока лифт не работает. «Но этот инцидент подчеркивает важность универсального правила: не нужно подключать к интернету устройства, которые могут работать автономно, тогда никакие хакеры их в принципе не взломают. Не нужно создавать для злоумышленников дополнительные векторы атак», — считает Шабалин.

Авторы
Теги
Магазин исследований Аналитика по теме "IT"
Видео недоступно при нулевом балансе


 

Лента новостей
Курс евро на 26 декабря
EUR ЦБ: 103,94 (-0,29)
Инвестиции, 25 дек, 18:49
Курс доллара на 26 декабря
USD ЦБ: 99,61 (-0,26)
Инвестиции, 25 дек, 18:49
Yeni Akit узнала об инциденте в Турции с упавшим в Казахстане EmbraerОбщество, 07:40
Компании по кибербезопасности увидели риски в новых положениях УКТехнологии и медиа, 07:30
Военная операция на Украине. ОнлайнПолитика, 07:15
Лондонский исход. Почему британские компании массово бегут на биржи СШАPro, 07:02
Как построить сквозную систему аналитики бизнесаРБК и СберАналитика, 07:02
Заммэра оценил дефицит рабочей силы на стройках в МосквеГород, 07:01
Вице-мэр Москвы — РБК: «Коррекция произошла, но драмы нет»Город, 07:00
Как пить красиво и осознанно
Новый интенсив РБК Pro об алкоголе
Подробнее
Вильфанд не исключил дождь в новогоднюю ночь в МосквеОбщество, 06:26
Трамп пообещал Канаде снижение налогов за присоединение к СШАПолитика, 06:13
Как выбрать швейцарский нож в сфере ИТРБК и Corpsoft24, 06:11
«Крестный отец» электроавтомобилей раскритиковал гибридные решенияБизнес, 05:56
Вильфанд пообещал европейской части России температуру выше нормыОбщество, 05:08
Россияне рассказали, сколько потратят на подарки для себяОбщество, 05:02
Депутаты предложат ужесточить правила поступления в вуз после колледжаОбщество, 04:31