Новый Zmiy атакует российские ИТ и телеком через взломанные системы лифтов

Новый Zmiy атакует российские ИТ и телеком через взломанные системы лифтов

Новый Zmiy атакует российские ИТ и телеком через взломанные системы лифтов

Специалисты ГК «Солар» выявили новую кибергруппу, действующую на территории России. Для размещения C2-серверов злоумышленники взламывают диспетчерские SCADA-системы домовых лифтов и потому получили условное имя Lifting Zmiy — «лифтеры».

Управление подключенными к интернету лифтами при этом не страдает; доступ к ПЛК в составе SCADA используется исключительно для проведения атак на госструктуры, ИТ-компании, телеком-провайдеров c целью кражи данных. Иногда такая атака влечет уничтожение части инфраструктуры жертвы.

Для развертывания C2-серверов на ПЛК используется известная с 2022 года уязвимость в контроллерах «Текон-Автоматика», позволяющая создать и запустить в системе LUA-скрипт с правами root. Проблема была вызвана наличием в паблике дефолтных логина и пароля админа.

После публикации PoC вендор закрыл доступ к этим учеткам на своем сайте, однако похоже, что некоторые юзеры до сих пор используют эту комбинацию — или заменили ее легко угадываемым вариантом.

Очередной Zmiy, попавший на радары «Солара» осенью 2023 года (по всей видимости, у экспертов свой метод идентификации APT-групп), предположительно базируется в Восточной Европе. Для проникновения в целевую сеть используется подбор паролей, для закрепления и развития атаки — в основном инструменты с открытым исходным кодом.

В арсенале Lifting Zmiy обнаружены, в частности, такие программы:

Подключение к зараженным системам осуществляется с IP-адресов различных хостинг-провайдеров (VPN и VPS). В одной из атак засветились адреса, используемые сервисом спутниковой связи Starlink.

Исследователи из Solar 4RAYS суммарно обнаружили 23 командных сервера Lifting Zmiy. Сейчас активны 14 (данные на конец июня 2024), восемь из них развернуты на взломанных ПЛК.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Telegram и ТВ лидируют: откуда россияне берут новости по кибербезу

Если вы интересуетесь ИТ и инфобезом, скорее всего вы читаете Telegram: среди тех, кто следит за такими темами, 39% доверяют каналам в Telegram. На втором месте — телевизор (32%), дальше идут российские новостные сайты (24%). Такую статистику удалось получить в ходе опроса, проведённого «Лабораторией Касперского».

Как люди предпочитают получать новости о кибербезопасности и технологиях? Большинство — короткие посты и заметки (66%). Эксперты подчёркивают: независимо от источника важно проверять факты — это помогает не попасться на фейки и ловушки мошенников.

Видео и телевизионные выпуски тоже популярны — 56% респондентов смотрят новости в формате видео или передач. Полноценно читать длинные статьи готовы лишь 27%, а примерно каждый пятый (20%) слушает подкасты или другие аудиоформаты.

Если смотреть на все темы вместе, вне зависимости от интересов, россияне больше всего доверяют телевидению и Telegram — по 33% каждому. Нейросети и чат-боты пока не воспринимают как надёжный источник: суммарно им доверяют около 7% опрошенных — и это логично, ведь ИИ может «галлюцинировать», то есть придумывать факты, которые нужно перепроверять.

Как люди находят новости? Больше половины (57%) заходят на главную страницу сайта или пролистывают основную ленту, 35% смотрят рекомендованные подборки. Около 40% переходят в конкретные разделы (политика, технологии и т. п.), а 22% ищут новости целенаправленно по интересующей теме.

Привычки потребления материалов разные. Полностью читать новости готовы 57% респондентов, 46% — довольствуются краткими сводками и анонсами, 28% быстро бегло просматривают текст, а 10% ограничиваются только заголовками. Видео и аудио чаще смотрят не целиком: 44% смотрят весь выпуск, 33% слушают в фоне, 28% выделяют только важные фрагменты, 12% предпочитают короткие обзоры и дайджесты.

Эксперты комментируют: тенденция доверия к телевидению сохранилась — люди по-прежнему видят в нём источник, где чаще проверяют факты. Telegram удобен и оперативен, но он же создаёт «информационные пузыри», где люди получают только подтверждающие их мнение материалы.

Это напрямую связано с кибербезопасностью: в большом потоке новостей легче пропустить фишинговые сайты, дипфейки или сомнительные предложения. Злоумышленники активно пользуются этим, включая в арсенал и инструменты на базе ИИ.

Главная мысль от специалистов: выбирать источники нужно осознанно и критически. Проверяйте новости, особенно если они про киберриски и финансовые предложения; не вводите личные данные на сомнительных сайтах и используйте проверенные защитные решения. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru