Вход / регистрация
Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» выявили серию атак прогосударственной группировки Lifting Zmiy на российские госорганы и частные компании. Серверы управления вредоносным ПО злоумышленники размещали на взломанном оборудовании, которое входит в состав SCADA-систем, используемых в том числе для управления лифтами. В некоторых случаях подключение к зараженным системам осуществлялись с IP-адресов, принадлежащих Starlink (сервису спутникового интернета компании SpaceX). Ключевой целью группировки Lifting Zmiy было хищение данных, а в ряде случаев атакующие также уничтожали часть инфраструктуры своих жертв.
Впервые с группировкой специалисты Solar 4RAYS столкнулись в конце 2023 года во время расследования атаки на ИТ-подрядчика российской госорганизации. За следующие полгода эксперты разобрали еще три инцидента, которые они связывают с деятельностью Lifting Zmiy.
Почерк злоумышленников повторялся от атаки к атаке: первичное проникновение осуществлялось через подбор паролей, затем злоумышленники закреплялись в атакованной системе и развивали атаку преимущественно с помощью различных программ с открытым исходным кодом. Среди инструментов, используемых Lifting Zmiy, эксперты обнаружили:
- Reverse SSH – для управления зараженными системами и доставки дополнительных вредоносных файлов;
- SSH-бэкдор – для перехвата паролей сессий удаленного доступа,
- GSocket – утилиту для создания удаленного подключения к атакованной системе в обход некоторых сетевых ИБ-решений.
Использование этого ПО объединяло все исследованные Solar 4RAYS атаки Lifting Zmiy, как и расположение управляющих серверов: их злоумышленники размещали на контроллерах от российского производителя, служащих для управления и диспетчеризации в том числе лифтового оборудования. Всего было обнаружено более десятка зараженных устройств, а на момент публикации исследования восемь из них оставались в скомпрометированном состоянии.
В большинстве инцидентов Lifting Zmiy подключались к заражённым системам с IP-адресов различных хостинг-провайдеров, но в атаке на ИТ-компанию, которую 4RAYS расследовали зимой 2024 года, их тактика изменилась. Они использовали IP-адреса из пула, принадлежащего провайдеру Starlink. Согласно публичным данным, эти IP-адреса используются терминалами Starlink, работающим на территории Украины. В целом на основе ряда признаков, эксперты Solar 4RAYS уверены, что группировка Lifting Zmiy происходит из Восточной Европы.
В этой связи эксперты рекомендуют проверить компаниям надежность паролей и использовать двухфакторную аутентификацию, а также регулярно проводить оценку компрометации (Compromise assessment) своей ИТ-инфраструктуры.
Фото - freepik.com
Журнал RUБЕЖ
Пожарная безопасность
Транспортная безопасность
