Группировка хакеров Lifting zmiy попала в поле зрение специалистов центра исследования киберугроз ООО "Солар групп" (Solar) в октябре 2023 г. В декабре 2023 г. специалисты Solar приступили к расследованию деятельности злоумышленников.

Эксперт центра исследования киберугроз Solar 4RAYS ГК "Солар" Дмитрий Маричев рассказал, что эксперты участвовали в четырех исследованиях, связанных с деятельностью группировки. Основной целью Lifting zmiy были российские госорганизации и коммерческие компании, в частности, из сфер ИТ и телеком.

Авторы исследования обратили внимание, что методы злоумышленников отличаются от других "змиев". Так, в отличии от группировки Shedding zmiy, использующей обширный арсенал из кастомных загрузчиков и бэкдоров, хакеры Lifting zmiy использовали open-source инструменты и продемонстрировали глубокие знания Linux-систем.

"Группировка использовала весьма экзотическую инфраструктуру для серверов управления. Они взламывали программируемые логические контроллеры (ПЛК) для управления и диспетчеризации, которые, в том числе, используются для управления лифтовым оборудованием и входят в состав систем диспетчерского управления и сбора данных (SCADA). Группировка внедряла в них код управления вредным программным обеспечением (ПО), нацеленным вглубь внутренних систем жертв", - рассказали авторы исследования.

Дмитрий Маричев добавил, что хакеры не пытались установить контроль над самими лифтами. Они использовали лифтовое оборудование как один из инструментов для достижения цели. Серверы управления размещались на взломанных контроллерах, входивших в состав SCADA-систем и давали команду вредоносному ПО, которое находилось в инфраструктуре основной жертвы. Таким образом они хотели запутать ИБ-специалистов и усложнить обнаружение действий. В результате злоумышленникам удалось скомпрометировать конфиденциальные данные компаний и удалить часть их инфраструктуры.

Представитель пресс-службы АО "Щербинский лифтостроительный завод" (ЩЛЗ) рассказал, что захватить контроль над самим лифтом невозможно: "Во-первых, дистанционное управление лифтом запрещено ГОСТом. Управляемый на расстоянии лифт не пройдет проверку Ростехнадзора и не будет введен в эксплуатацию. Во-вторых, контроль проверки работоспособности лифта осуществляется электромехаником через прямое проводное подключение к станции управления лифтом на самом объекте. А система диспетчеризации используется для контроля работы лифта и связи с пассажиром, а не для управления самим лифтом".

Представитель пресс-службы "ЩЛЗ" обратил внимание, что управлением системами диспетчеризации занимаются управляющие компании, эксплуатирующие лифты. Корреспондент ComNews обратился за комментарием в ООО "НПО Текон-автоматика", специализирующееся на разработке автоматизированных систем управления и диспетчеризации, используемых, в том числе, и в лифтах. Однако, представители ООО "НПО Текон-автоматика" не ответили на запрос.

По мнению руководителя направления информационной безопасности АО "Инфозащита" (iTPROTECT) Кая Михайлова, высокий уровень навыков в Linux-системах помогает проводить атаку незаметно, скрывая вредоносное ПО в легитимных заданиях для таблицы запуска скриптов (cron) или с помощью переназначений команд.

С ним согласен аналитик ООО "Русием" (RuSIEM) Василий Кочканиди. Он рассказал, что использование хакерских утилит требует знаний о принципах работы инфраструктуры, средствах и методах защиты. Высокий уровень знаний Linux-систем, о котором говорится в исследовании, дает возможность найти и использовать недостатки системы.

Однако Кай Михайлов обратил внимание, что злоумышленники не взламывали сам ПЛК, а использовали стандартный пароль из инструкции производителя, чтобы проникнуть в систему и двинуться дальше. Он отметил, что специалисты автономных систем управления технологическим процессом не всегда уделяют достаточного внимания смене дефолтного пароля, так как надеются, что промышленная сеть изолирована от внешнего мира.

"Такой метод подбора пароля подкупает простотой, - сказал Василий Кочканиди. - Когда система скомпрометирована, и отдельный сервер становится "троянским", и администратор во время сессии на таком сервере, сам того не подозревая, может передать хакерам ключи для продвижения дальше в домен."

"Расширение фронта работ" происходит во время любой хакерской атаки или компрометации сети. Предотвратить такое развитие событий может правильная сегментация внутренней сети, использование внешних сканеров для поиска уязвимых активов и анализ поверхностей потенциальной атаки.

"Это позволило бы найти активы, которые смотрят во внешнюю сеть с дефолтным паролем (низкий уровень сложности для хакера). Не нужно забывать, что причиной атаки стало не отсутствие средств защиты информации, а небезопасная настройка ПЛК со стороны администраторов", - отметил Кай Михайлов.

Василий Кочканиди добавил, что подозрительные сетевые подключения и активности на сервере SCADA можно выявить с помощью комплексных использований различных мер защиты. "Не последнюю роль в организации системы безопасности играет многофакторная аутентификация, создание среды нулевого доверия и строгая регламентация прав пользователей", - отметил Василий Кочканиди.

"Наконец, пользователям оборудования стоит сразу менять пароли, как только система начала работать", - заключил Дмитрий Маричев.