Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» рассказали о серии атак прогосударственной хак-групы Lifting Zmiy, нацеленной на российские госорганы и частные компании. Свои управляющие серверы злоумышленники размещали на взломанном оборудовании, которое входит в состав SCADA-систем, используемых, к примеру, для управления лифтами.
С этой группировкой специалисты впервые столкнулись еще в конце 2023 года, когда в одном из проукраинских Telegram-каналов была опубликована информация о взломе российской государственной организации. Эксперты участвовали в расследования этой атаки на неназванного ИТ-подрядчика российской госорганизации, а за следующие полгода они изучили еще три инцидента, которые тоже связывают с деятельностью Lifting Zmiy.
Почерк хакеров повторяется от атаки к атаке: первичное проникновение осуществлялось посредством подбора паролей, а затем злоумышленники закреплялись в системе и развивали атаку преимущественно с помощью различных опенсорсных инструментов, включая:
- Reverse SSH– реверс-шелл для управления зараженными системами и доставки дополнительных пейлоадов;
- SSH-бэкдор – для перехвата паролей сессий удаленного доступа;
- GSocket– утилиту для создания удаленного подключения к атакованной системе в обход некоторых защитных решений.
Использование этого ПО объединяло все изученные атаки Lifting Zmiy, как и расположение управляющих серверов: их злоумышленники размещали на контроллерах российского производителя «Текон-Автоматика», служащих для управления и диспетчеризации в том числе лифтового оборудования.
Суммарно было обнаружено более десятка зараженных устройств, а на момент публикации исследования восемь из них по-прежнему оставались в скомпрометированном состоянии.
Прошивка для этих устройств является универсальной и функционирует на базе ядра Linux, что вместе с возможностью написания кастомных LUA-плагинов, предоставляет злоумышленникам широкие возможности для эксплуатации.
«Мы полагаем, что в ходе атаки Lifting Zmiy воспользовались публично размещенной информацией о несовершенствах безопасности устройств “Текон-Автоматика” и проэксплуатировали имеющиеся уязвимости системы для размещения на них С2 серверной части, используемой в дальнейших атаках на свои главные цели», — пишут специалисты.
Исследователи пишут, что главной целью Lifting Zmiy являются конфиденциальные данные атакованных организаций. А после достижения цели, либо в случае невозможности продвинуться вглубь инфраструктуры организации-жертвы, хакеры переходят к деструктивным действиям: удаляют данные в доступных им системах.
Интересно, что в большинстве инцидентов группировка подключалась к зараженным системам с IP-адресов различных хостинг-провайдеров, но в атаке на ИТ-компанию, которую эксперты расследовали зимой 2024 года, их тактика изменилась. Они использовали IP-адреса из пула, принадлежащего провайдеру Starlink. Согласно публичным данным, эти IP-адреса используются терминалами Starlink, работающим на территории Украины.
В целом на основе ряда признаков, эксперты Solar 4RAYS полагают, что группировка Lifting Zmiy происходит из Восточной Европы.
«На момент нашего исследования Lifting Zmiy по-прежнему очень активна: используя собственные хантинг-системы, мы постоянно находим новые элементы их инфраструктуры. Поэтому мы рекомендуем организациям, которые используют SCADA-системы, подобные тем, что атаковали злоумышленники, предельно внимательно отнестись к обеспечению собственной кибербезопасности. Кроме того, во всех расследованных кейсах доступ к инфраструктуре был получен путем обычного перебора паролей, поэтому компаниям стоит еще раз проверить надежность их парольных политик и, как минимум, ввести двухфакторную аутентификацию», — комментирует эксперт центра исследования киберугроз Solar 4RAYS Дмитрий Маричев.
