Хакеры атаковали госсектор и компании из РФ через взломанные системы для лифтов
Хакерская группировка из Восточной Европы Lifting Zmiy взломала системы поставщика решений для лифтов «Текон-Автоматика», сообщил центр исследования киберугроз Solar 4RAYS ГК «Солар». Утверждается, что они не собирались атаковать сами лифты, а использовали взлом для последующих атак на госсектор и российские компании.
С исследованием компании ознакомился РБК. Хакеры взламывали контроллеры, входящие в состав SCADA-систем (нужны для разработки и функционирования в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления). На контроллерах размещались серверы, которые использовались для атак на другие цели. «Текон-Автоматика» не комментировала информацию.
Под удар попали организации госсектора, компании из IT, телекома и других отраслей. Хакеры пользовались инфраструктурой Starlink от SpaceX Илона Маска.
Эксперт центра исследования киберугроз Solar 4RAYS Дмитрий Маричев считает, что Lifting Zmiy «не ставили перед собой цель» получить контроль над самими лифтами. «Размещая серверы управления на контроллерах, они, вероятно, хотели усложнить обнаружение своих операций специалистами»,— считает он.
Господин Маричев напомнил, что в 2022 году был опубликован метод взлома оборудования «Текон-Автоматика». Производитель принял меры, однако все обнаруженные серверы управления хакеров были развернуты уже после этого. Это может означать, что некоторые пользователи не сменили данные по умолчанию на устройствах, либо сменили, но злоумышленники подобрали новый пароль перебором. «Мы рекомендуем всем организациям, которые используют такое оборудование, принять меры по дополнительной защите от таких атак: провести оценку компрометации IT-инфраструктуры и усилить парольные политики, и как минимум ввести двухфакторную аутентификацию»,— сказал эксперт.
Почему IT-инфраструктуру взламывают все чаще и успешнее — в материале «Ъ» «Хак-то так получилось».