黑客通过入侵电梯系统攻击IT公司，并赢得了“电梯人”的绰号。他们并没有破坏电梯本身的控制，尽管理论上他们可以这样做。

俄罗斯公司Tekon-Avtomatika，专业开发电梯自动化管理和调度系统，于2024年7月8日遭受了东欧黑客组织Lifting Zmiy的网络攻击。攻击者利用SCADA系统中控制器的安全漏洞，将服务器放置在被黑设备上，进而对其他目标发起攻击。尽管黑客没有直接影响电梯运行，但暴露了潜在的安全风险。受影响的组织包括政府部门、IT公司和电信企业等。

Solar 4RAYS Group的专家Dmitry Marichev指出，黑客主要目的是使检测其活动变得复杂。此前在2022年，Tekon-Avtomatika系统的漏洞已被发现，制造商虽采取措施提高安全性，但一些用户未更新设备安全设置，留下了安全隐患。专家建议相关组织加强IT基础设施安全，包括更新密码策略和引入双因素身份验证。

控制SCADA系统

根据Solar 4RAYS网络威胁研究中心（隶属于“太阳能”公司）提供的材料，东欧黑客组织Lifting Zmiy通过管理公寓楼电梯的服务器攻击了俄罗斯公司。

黑客通过SCADA系统中的控制器（这些系统用于开发或实时操作监控和管理对象的信息收集、处理、显示和存档系统）实施攻击。他们在控制了SCADA系统的服务器，用于对其他目标进行攻击。受影响的控制器来自“Tekon-Automation”公司，该公司专门开发用于电梯的自动化管理和调度系统，这也是该组织名称的由来。通过这一漏洞受到攻击的组织包括政府部门、IT公司、电信公司等行业。攻击者在操作中使用了埃隆·马斯克的SpaceX公司Starlink提供的基础设施。

Solar的一位代表强调，电梯本身没有受到攻击，尽管总的来说，该漏洞使得人们有可能获得对设备的控制。“重要的是要考虑到电梯是复杂的多组件系统，对一个组件的篡改可能不足以直接影响设备的运行。而且，很可能，Lifting Zmiy并没有为自己设定这样的目标。通过将管理服务器放置在控制器上，他们可能想让专家难以检测到他们的操作，”Solar 4RAYS网络威胁研究中心的专家德米特里·马里切夫(Dmitry Marichev)说道。

他指出，2022年，发布了一种攻击该设备的方法，该方法表明，通过成功登录并编写特殊插件，攻击者可以获得例如与调度员通信、来自各种传感器的数据等的访问权限。此后，制造商采取了行动 – 从其网站上删除了默认登录名和密码。马里切夫指出，专家发现的所有黑客控制服务器都是在此之后部署的，这可能意味着这些系统的某些用户没有更改其设备上的默认数据，或者他们确实更改了，但攻击者通过暴力破解找到了新密码。他强调：“我们建议所有使用此类设备的组织采取措施，针对此类攻击提供额外的保护：对IT基础设施的受损情况进行评估并加强密码策略，并至少引入双因素身份验证。”

攻击的威胁是什么？

安全专家中心Positive Technologies网络威胁研究部门负责人Denis Kuvshinov指出，该公司还看到了该组织的活动，黑客想要危害SCADA系统软件开发商，试图感染该软件并将其交付给客户。“幸运的是，这失败了——制造商及时发现了问题，”专家说。他表示，这两个案例表明，黑客正在寻找越来越多有效的方法向客户传递恶意软件，并试图通过侵入合法系统来尽可能隐藏自己的活动。“人们对与自动化过程控制系统(APCS)相关的黑客软件的兴趣与日俱增，这需要制造商和信息安全专家越来越多的关注，”库夫希诺夫说。

Innostage SOC CyberART网络威胁中心负责人马克西姆·阿基莫夫(Maxim Akimov)指出，连接到互联网或其他数据网络的电梯确实可能容易受到黑客攻击，因为其运行所使用的软件和电子组件可能存在漏洞。通过使用它们，攻击者将能够访问电梯控制系统，并能够导致内部设备发生故障和其他不正确操作的情况。阿基莫夫说，一些电梯使用无线技术与控制室或其他设备进行通信，这些系统也很容易受到黑客攻击。

他指出，几乎所有电梯服务组织都在努力组织其系统的远程控制。“即使在旧电梯上，也会安装额外的控制器，并组织与控制室的通信。因此，不可能估计可能位于数字风险区域的电梯的确切数量。”阿基莫夫指出。他表示，对与电梯系统相关的基础设施的渗透是一个重大的信息安全事件；监控此类系统的网络安全、定期更新其软件并仔细检查可能成为黑客切入点的承包商非常重要。

Stingray Technologies总经理尤里·沙巴林（Swordfish Security Group of Companies的一部分）称，此类黑客攻击中最大的麻烦是在电梯不工作时需要走上楼梯。“但这次事件强调了一个普遍规则的重要性：你不需要将能够自主工作的设备连接到互联网，那么原则上没有黑客会攻击它们。无需为攻击者创建额外的攻击媒介。”Shabalin说道。

安全建议

早在2022年，关于“Tekon-Automatika”控制器的漏洞利用方法已被公开，尽管该公司随后采取了措施移除默认登录信息，但黑客仍成功入侵，表明部分用户未更新安全设置或黑客通过暴力破解获取了新口令。针对这种由OT系统攻击控制，进而实施向更多IT系统的攻击手法，遵循基本的最佳安全实践显得更加紧迫。

1. 强化口令安全：确保所有系统使用强口令，并实施定期更换口令的政策，避免使用默认或通用口令。

2. 启用双因素认证：在关键系统上实施双因素认证，以增加额外的安全层，确保即使口令被破解，攻击者也无法轻易获得访问权限。

3. 及时更新与打补丁：定期检查并更新系统软件，及时应用安全补丁，以修复可能被利用的已知漏洞。

4. 网络隔离与监控：对关键基础设施实施网络隔离，并部署入侵检测系统，以监控和防范未授权的访问或可疑行为。

5. 安全意识教育：对员工进行网络安全培训，提高他们对钓鱼攻击、恶意软件和其他网络威胁的认识，减少人为安全风险。

参考资源

1、https://www.rbc.ru/technology_and_media/08/07/2024/6687f9af9a7947780a5d1a31

2、https://tadviser.com/index.php/Company:Tecon-Automatics_NGO

声明：本文来自网空闲话plus，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。