ГК «Солар»: хакеры атаковали госсектор и компании из РФ через взломанные системы для лифтов

Хакерская группировка из Восточной Европы Lifting Zmiy атаковала российские компании через серверы, которые управляют лифтами в подъездах. Об этом со ссылкой на материалы центра исследования киберугроз Solar 4RAYS ГК «Солар» пишет РБК.

Злоумышленники взламывали контроллеры, входящие в состав SCADA‑систем (предназначены для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления), и размещали на них серверы, используемые в атаках на другие цели.

Речь о контроллерах «Текон‑Автоматика», поставщика решений для лифтов. Компания специализируется на разработке автоматизированных систем управления и диспетчеризации, которые используют в том числе в конструкции лифтов, что дало название группировке, отметили в «Солар». Среди организаций, которые атаковали через эту уязвимость, — госсектор, компании из IT, телекома и других отраслей. При этом атакующие в своих операциях использовали инфраструктуру провайдера Starlink компании SpaceX Илона Маска.

Представитель «Солара» подчеркнул, что атак на сами лифты не было, хотя в целом уязвимость позволяла получить контроль над оборудованием. «Важно учитывать, что лифты — это сложные многокомпонентные системы и взлома одного компонента, скорее всего, недостаточно, чтобы повлиять непосредственно на работу оборудования. И, скорее всего, Lifting Zmiy не ставили перед собой такой цели. Размещая серверы управления на контроллерах, они, вероятно, хотели усложнить обнаружение своих операций специалистами», — рассуждает эксперт центра исследования киберугроз Solar 4RAYS Дмитрий Маричев.

В 2022 году опубликовали метод взлома этого оборудования, который предполагает, что успешно авторизовавшись и написав