Хакеры атаковали российские компании через взломанные системы для лифтов

Хакерская группировка Lifting Zmiy атаковала российские госорганы и частные компании через взломанные серверы, которые управляют лифтами в подъездах, сообщили в центре исследования киберугроз Solar 4RAYS ГК «Солар».

Речь идет о четырех инцидентах с участием Lifting Zmiy, которые изучили в Solar 4RAYS, первый из был выявлен в конце 2023 года. «Почерк злоумышленников повторялся от атаки к атаке: первичное проникновение осуществлялось через подбор паролей, затем злоумышленники закреплялись в атакованной системе и развивали атаку преимущественно с помощью различных программ с открытым исходным кодом», — рассказали эксперты.

Все атаки Lifting Zmiy объединяли использованное ПО и расположение управляющих серверов — на контроллерах, служащих для управления и диспетчеризации в том числе лифтового оборудования, отметили в Solar 4RAYS. Речь о контроллерах компании «Текон-Автоматика», узнал РБК.

В большинстве инцидентов Lifting Zmiy подключались к зараженным системам с IP-адресов различных хостинг-провайдеров, но в атаке на IT-компанию, которую в 4RAYS расследовали зимой 2024 года, злоумышленники использовали другую тактику — подключение к зараженным системам осуществлялись с IP-адресов, принадлежащих провайдеру Starlink. Главная цель Lifting Zmiy — хищение данных, кроме того, хакеры иногда уничтожали часть инфраструктуры. Киберэксперты заявляют, что группировка происходит из Восточной Европы и называют ее «проукраинской».

«На момент нашего исследования Lifting Zmiy по-прежнему очень активна: используя собственные хантинг-системы, мы постоянно находим новые элементы их инфраструктуры», — заявили в 4RAYS. Там предупредили, что между взломом систем и активными действиями злоумышленников могут пройти месяцы, и рекомендовали компаниям регулярно проводить оценку компрометации (Compromise assessment) IT-инфраструктуры.

СДЭК в конце мая сообщил об «обширном техническом сбое». Тогда перестали работать приложение и сайт оператора и были остановлены прием и выдача отправлений в пунктах выдачи заказов. 3 июня компания объявила, что движение отправлений возобновлено и большая часть задержанных посылок выдана.

Однако 4 июня «Коммерсантъ» сообщил, что СДЭК так и не устранила часть уязвимостей в своей инфраструктуре. Собеседники издания на рынке кибербезопасности рассказали, что «в открытом доступе на сторонних ресурсах» можно обнаружить ссылки на «Google Таблицы» с размещенными в них данными отправлений за апрель. Издание убедилось, что в таблицах содержатся в том числе номера накладных, вес и изображения посылок, имена и названия отправителей (физлиц и юрлиц). В СДЭК изданию заявили, что хранят персональные данные клиентов в собственной защищенной базе, а в открытом доступе допускается появление инструкций для персонала и шаблонов действий по ним.