Российские компании подверглись кибератаке
Хакеры постоянно ищут новые мотивы, чтобы получить доступ к ценным ресурсам. Недавнее исследование центра Solar 4RAYS, проведенное группой компаний (ГК) «Солар», выявило тревожную тактику, используемую восточноевропейской хакерской группировкой. Группа атаковала российские ИТ-компании, используя серверы, управляющие лифтами в подъездах, в качестве плацдарма для дальнейших атак. Об этом в начале июля 2024 г. сообщает РБК, специалисты из издания первыми ознакомились с исследованием компании ГК «Солар».
По информации РБК, хакеры взламывали контроллеры ИТ-системы поставщика решений для лифтов «Текон-Автоматика», входящие в состав SCADA-систем (нужны для разработки и функционирования в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления). На контроллерах размещались серверы, которые использовались для атак на другие цели.
Представитель ГК «Солара» подчеркнул, что атак на сами лифты не было, хотя в целом уязвимость позволяла получить контроль над оборудованием. Важно учитывать, что лифты - это сложные многокомпонентные системы и взлома одного компонента, скорее всего, недостаточно, чтобы повлиять непосредственно на работу оборудования. И, скорее всего, хакерская группировка из Восточной Европы Lifting Zmiy не ставили перед собой такой цели. Размещая серверы управления на контроллерах, они, вероятно, хотели усложнить обнаружение своих операций специалистами по информационной безопасности (ИБ).
По данным ГК «Солар», под удар попали организации госсектора, компании из ИТ, телекома и других отраслей. Хакеры пользовались инфраструктурой Starlink от SpaceX Илона Маска (Elon Musk). Особенно тревожным является тот факт, что Lifting Zmiy использовали инфраструктуру спутниковой интернет-службы Starlink. Это говорит о том, что хакеры Lifting Zmiy обладают высоким уровнем технической изощренности и способны использовать передовые технологии для достижения своих целей. Среди других организаций, ставших жертвами атак хакеров, числятся представители государственного сектора, ИТ-компании, телекоммуникационные операторы и компании из других отраслей.
Хотя мотивы Lifting Zmiy для специалистов ГК «Солар» остаются неясными, эксперты полагают, что их основной целью было использование скомпрометированных серверов в качестве узлов для проведения дальнейших атак. Размещая свои инструменты на контроллерах лифтов, хакеры стремились замаскировать свою деятельность и усложнить задачу по их обнаружению. Этот инцидент служит лишь напоминанием о том, что кибербезопасность – это не только защита серверов или компьютеров. SCADA-системы, управляющие критически важной инфраструктурой, также уязвимы для кибератак, и их действия могут нести серьезные последствия.
По словам эксперта центра исследования киберугроз Solar 4RAYS Дмитрия Маричева, в 2022 г. был опубликован метод взлома оборудования «Текон-Автоматика». В том же году производитель принял меры, однако все обнаруженные серверы управления хакеров были развернуты уже после этого. Это может означать, что некоторые пользователи не сменили данные по умолчанию на устройствах, либо сменили, но злоумышленники подобрали новый пароль перебором. Маричев рекомендует всем организациям, которые используют такое ИТ-оборудование, принять меры по дополнительной защите от таких атак: провести оценку компрометации ИТ-инфраструктуры и усилить парольные политики, и как минимум ввести двухфакторную аутентификацию.
SCADA-системы
Системы диспетчерского управления и сбора данных (SCADA) используются для управления, мониторинга и анализа промышленных устройств и процессов. Система состоит из программных и аппаратных компонентов и позволяет удаленно и на месте собирать данные с промышленного оборудования. Таким образом, она позволяет компаниям удаленно управлять промышленными объектами, такими как ветряные электростанции или же лифты, поскольку сотрудники компании могут получить доступ к данным о турбинах или гидравлических системах и управлять ими, не находясь физически рядом с оборудованием. Система SCADA подключается к множеству различных типов оборудования и они контролирует и управляет всем: от погодных датчиков и насосов до производства электроэнергии и двигателей, в зависимости от того, какие данные необходимы.
Система SCADA состоит из трех основных компонентов. В совокупности они обеспечивают передачу данных от оборудования, которое необходимо контролировать и управлять (датчики, двигатели и т. д.), к интерфейсу, где эти данные могут быть проанализированы и использованы для составления отчетов. Связующим звеном в архитектуре SCADA являются программируемые логические контроллеры (PLC) или удаленные терминальные блоки (RTU). Это микрокомпьютеры, которые взаимодействуют с оборудованием (также называемым полевыми устройствами), с одной стороны, и человеко-машинными интерфейсами (HMI), с другой. HMI также называют графическими пользовательскими интерфейсами.
PLC и RTU работают как локальные точки сбора данных, которые отправляют и транслируют данные на удаленный или локальный HMI и передают команды управления полевым устройствам. Операторы же получают доступ к данным через HMI, который может быть облачным или базироваться на собственных серверах. Программное обеспечение интерпретирует и отображает данные в удобном для восприятия виде, поэтому операторы могут быстро и просто анализировать и реагировать на сигналы тревоги. Некоторые SCADA-системы также включают в себя опции для автоматического управления и механизм автоматической отчетности, позволяющий легко составлять отчеты.
Существует множество преимуществ системы SCADA и в целом, системы помогают оптимизировать производство и контролировать его в соответствии с отраслевыми нормами. Во многих случаях системы SCADA также используются для поиска и устранения неисправностей, поскольку техническое обслуживание стало важной частью обеспечения непрерывного производственного потока без лишних ошибок. Для того чтобы полностью понять важность систем SCADA, необходимо вернуться в те времена, когда промышленные предприятия контролировались вручную и полагались на присутствие персонала во время производства. Персонал должен был наблюдать и контролировать операции, а также реагировать на возникающие проблемы. Это было не только дорого, но и могло быть опасно для персонала. Однако по мере того, как промышленные объекты расширялись и становились все более удаленными, возникла необходимость в более автоматических решениях. Если перенестись в сегодняшний день, то первоначальная потребность в большей автоматизации по-прежнему является движущей силой развития SCADA. Благодаря более автоматическим и полуавтоматическим процессам предприятия могут по-другому распределять свои ресурсы и экономить деньги в долгосрочной перспективе.