/ /

С помощью взломов лифтов хакеры похищали данные

С помощью взломов лифтов хакеры похищали данные

09 июля 2024, 12:47    582

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» выявили серию атак прогосударственной группировки Lifting Zmiy на российские госорганы и частные компании. Серверы управления вредоносным ПО злоумышленники размещали на взломанном оборудовании, которое входит в состав SCADA-систем, используемых в том числе для управления лифтами. В некоторых случаях подключение к зараженным системам осуществлялись с IP-адресов, принадлежащих Starlink (сервису спутникового интернета компании SpaceX). Ключевой целью группировки Lifting Zmiy было хищение данных, а в ряде случаев атакующие также уничтожали часть инфраструктуры своих жертв.

Впервые с группировкой специалисты Solar 4RAYS столкнулись в конце 2023 года во время расследования атаки на ИТ-подрядчика российской госорганизации. За следующие полгода эксперты разобрали еще три инцидента, которые они связывают с деятельностью Lifting Zmiy.

Почерк злоумышленников повторялся от атаки к атаке: первичное проникновение осуществлялось через подбор паролей, затем злоумышленники закреплялись в атакованной системе и развивали атаку преимущественно с помощью различных программ с открытым исходным кодом. Среди инструментов, используемых Lifting Zmiy, эксперты обнаружили:

  • Reverse SSH – для управления зараженными системами и доставки дополнительных вредоносных файлов;
  • SSH-бэкдор – для перехвата паролей сессий удаленного доступа,
  • GSocket – утилиту для создания удаленного подключения к атакованной системе в обход некоторых сетевых ИБ-решений.

Использование этого ПО объединяло все исследованные Solar 4RAYS атаки Lifting Zmiy, как и расположение управляющих серверов: их злоумышленники размещали на контроллерах от российского производителя, служащих для управления и диспетчеризации в том числе лифтового оборудования. Всего было обнаружено более десятка зараженных устройств, а на момент публикации исследования восемь из них оставались в скомпрометированном состоянии.

В большинстве инцидентов Lifting Zmiy подключались к заражённым системам с IP-адресов различных хостинг-провайдеров, но в атаке на ИТ-компанию, которую 4RAYS расследовали зимой 2024 года, их тактика изменилась. Они использовали IP-адреса из пула, принадлежащего провайдеру Starlink. Согласно публичным данным, эти IP-адреса используются терминалами Starlink, работающим на территории Украины.  В целом на основе ряда признаков, эксперты Solar 4RAYS уверены, что группировка Lifting Zmiy происходит из Восточной Европы.

В этой связи эксперты рекомендуют проверить компаниям надежность паролей и использовать двухфакторную аутентификацию, а также регулярно проводить оценку компрометации (Compromise assessment) своей ИТ-инфраструктуры.

Фото - freepik.com

Свежее

 Журнал RUБЕЖ  Пожарная безопасность  Транспортная безопасность

Yandex.Дзен

Подписывайтесь на канал ru-bezh.ru
в Яндекс.Дзен

Яндекс.Директ

RUБЕЖ в vk RUБЕЖ на dzen RUБЕЖ на youtube RUБЕЖ в telegram+ RUБЕЖ-RSS

Контакты

Адрес: 121471, г. Москва, Фрунзенская набережная, д. 50, пом. IIIа, комн.1

Тел./ф.: +7 (495) 539-30-20

Время работы: 9:00-18:00, понедельник - пятница

E-mail: info@ru-bezh.ru


Для рекламодателей

E-mail: reklama@ru-bezh.ru

тел.: +7 (495) 539-30-20 (доб. 103)

total time: 0.7717 s
queries: 92 (0.4842 s)
memory: 8 192 kb
source: cache
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение.