Змей в шахте лифта: как Lifting Zmiy проникает в российские компании

Хакерская группировка Lifting Zmiy из Восточной Европы совершила серию кибератак на российские компании, используя в качестве точки входа серверы, управляющие лифтами в подъездах. Об этом сообщает РБК со ссылкой на центр исследования киберугроз Solar 4RAYS ГК «Солар».

Злоумышленники взламывали контроллеры, являющиеся частью SCADA-систем, и размещали на них серверы, которые затем использовали для атак на другие цели. Речь идет о контроллерах «Текон-Автоматика», компании — поставщика решений для лифтов. Она специализируется на разработке автоматизированных систем управления и диспетчеризации, которые используются в том числе в конструкции лифтов, что дало название группировке. Среди пострадавших — государственные учреждения, IT-компании, представители телекома и других отраслей.

Для своих операций хакеры использовали инфраструктуру спутникового интернета Starlink компании SpaceX Илона Маска. Представители «Солар» подчеркнули, что атаки на сами лифты не совершались, однако уязвимость могла позволить злоумышленникам получить контроль над оборудованием.

Специалисты предполагают, что истинной целью хакеров было не нарушение работы лифтов, а маскировка своих действий. Размещая управляющие серверы на контроллерах лифтового оборудования, они пытались усложнить обнаружение своих операций.

Как отметили в компании, в 2022 году был опубликован метод взлома контроллеров «Текон-Автоматика», который предполагает, что, успешно авторизовавшись и написав специальный плагин, атакующий может получить доступ, например, к связи с диспетчером, данным с разных датчиков и т.п. После этого производитель принял меры — убрал со своего сайта логин и пароль по умолчанию. Однако все обнаруженные специалистами серверы управления хакеров были развернуты уже после принятия этих мер. Это может означать, что либо некоторые пользователи не обновили настройки безопасности на своих устройствах, либо хакерам удалось подобрать новые пароли методом перебора.