黑客通过入侵电梯系统攻击IT公司,为这些公司赢得了“电梯”的绰号。他们并没有破坏电梯本身的控制,尽管理论上他们可以这样做。俄罗斯公司Tekon-Avtomatika,专业开发电梯自动化管理和调度系统,于2024年7月8日遭受了东欧黑客组织Lifting Zmiy的网络攻击。攻击者利用SCADA系统中控制器的安全漏洞,将服务器放置在被黑设备上,进而对其他目标发起攻击。尽管黑客没有直接影响电梯运行,但暴露了潜在的安全风险。受影响的组织包括政府部门、IT公司和电信企业等。Solar 4RAYS Group的专家Dmitry Marichev指出,黑客主要目的是使检测其活动变得复杂。此前在2022年,Tekon-Avtomatika系统的漏洞已被发现,制造商虽采取措施提高安全性,但一些用户未更新设备安全设置,留下了安全隐患。专家建议相关组织加强IT基础设施安全,包括更新密码策略和引入双因素身份验证。
控制SCADA系统
根据Solar 4RAYS网络威胁研究中心(隶属于“太阳能”公司)提供的材料,东欧黑客组织Lifting Zmiy通过管理公寓楼电梯的服务器攻击了俄罗斯公司。
黑客通过SCADA系统中的控制器(这些系统用于开发或实时操作监控和管理对象的信息收集、处理、显示和存档系统)实施攻击。他们在控制了SCADA系统的服务器,用于对其他目标进行攻击。受影响的控制器来自“Tekon-Automation”公司,该公司专门开发用于电梯的自动化管理和调度系统,这也是该组织名称的由来。通过这一漏洞受到攻击的组织包括政府部门、IT公司、电信公司等行业。攻击者在操作中使用了埃隆·马斯克的SpaceX公司Starlink提供的基础设施。
Solar的一位代表强调,电梯本身没有受到攻击,尽管总的来说,该漏洞使得人们有可能获得对设备的控制。“重要的是要考虑到电梯是复杂的多组件系统,对一个组件的篡改可能不足以直接影响设备的运行。而且,很可能,Lifting Zmiy并没有为自己设定这样的目标。通过将管理服务器放置在控制器上,他们可能想让专家难以检测到他们的操作,”Solar 4RAYS网络威胁研究中心的专家德米特里·马里切夫(Dmitry Marichev)说道。
他指出,2022年,发布了一种攻击该设备的方法,该方法表明,通过成功登录并编写特殊插件,攻击者可以获得例如与调度员通信、来自各种传感器的数据等的访问权限。此后,制造商采取了行动 - 从其网站上删除了默认登录名和密码。马里切夫指出,专家发现的所有黑客控制服务器都是在此之后部署的,这可能意味着这些系统的某些用户没有更改其设备上的默认数据,或者他们确实更改了,但攻击者通过暴力破解找到了新密码。他强调:“我们建议所有使用此类设备的组织采取措施,针对此类攻击提供额外的保护:对IT基础设施的受损情况进行评估并加强密码策略,并至少引入双因素身份验证。”
攻击的威胁是什么?
安全专家中心Positive Technologies网络威胁研究部门负责人Denis Kuvshinov指出,该公司还看到了该组织的活动,黑客想要危害SCADA系统软件开发商,试图感染该软件并将其交付给客户。“幸运的是,这失败了——制造商及时发现了问题,”专家说。他表示,这两个案例表明,黑客正在寻找越来越多有效的方法向客户传递恶意软件,并试图通过侵入合法系统来尽可能隐藏自己的活动。“人们对与自动化过程控制系统(APCS)相关的黑客软件的兴趣与日俱增,这需要制造商和信息安全专家越来越多的关注,”库夫希诺夫说。
Innostage SOC CyberART网络威胁中心负责人马克西姆·阿基莫夫(Maxim Akimov)指出,连接到互联网或其他数据网络的电梯确实可能容易受到黑客攻击,因为其运行所使用的软件和电子组件可能存在漏洞。通过使用它们,攻击者将能够访问电梯控制系统,并能够导致内部设备发生故障和其他不正确操作的情况。阿基莫夫说,一些电梯使用无线技术与控制室或其他设备进行通信,这些系统也很容易受到黑客攻击。
他指出,几乎所有电梯服务组织都在努力组织其系统的远程控制。“即使在旧电梯上,也会安装额外的控制器,并组织与控制室的通信。因此,不可能估计可能位于数字风险区域的电梯的确切数量。”阿基莫夫指出。他表示,对与电梯系统相关的基础设施的渗透是一个重大的信息安全事件;监控此类系统的网络安全、定期更新其软件并仔细检查可能成为黑客切入点的承包商非常重要。
Stingray Technologies总经理尤里·沙巴林(Swordfish Security Group of Companies的一部分)称,此类黑客攻击中最大的麻烦是在电梯不工作时需要走上楼梯。“但这次事件强调了一个普遍规则的重要性:你不需要将能够自主工作的设备连接到互联网,那么原则上没有黑客会攻击它们。无需为攻击者创建额外的攻击媒介。”Shabalin说道。
安全建议
早在2022年,关于“Tekon-Automatika”控制器的漏洞利用方法已被公开,尽管该公司随后采取了措施移除默认登录信息,但黑客仍成功入侵,表明部分用户未更新安全设置或黑客通过暴力破解获取了新口令。针对这种由OT系统攻击控制,进而实施向更多IT系统的攻击手法,遵循基本的最佳安全实践显得更加紧迫。
强化口令安全:确保所有系统使用强口令,并实施定期更换口令的政策,避免使用默认或通用口令。
启用双因素认证:在关键系统上实施双因素认证,以增加额外的安全层,确保即使口令被破解,攻击者也无法轻易获得访问权限。
及时更新与打补丁:定期检查并更新系统软件,及时应用安全补丁,以修复可能被利用的已知漏洞。
网络隔离与监控:对关键基础设施实施网络隔离,并部署入侵检测系统,以监控和防范未授权的访问或可疑行为。
安全意识教育:对员工进行网络安全培训,提高他们对钓鱼攻击、恶意软件和其他网络威胁的认识,减少人为安全风险。
参考资源
1、https://www.rbc.ru/technology\_and\_media/08/07/2024/6687f9af9a7947780a5d1a31
2、https://tadviser.com/index.php/Company:Tecon-Automatics\_NGO