Um grupo de hackers da Europa Oriental, Lifting Zmiy, atacou empresas russas por meio de servidores usados para controlar equipamentos de elevadores em prédios de apartamentos, informou o recurso RBC, citando informações do centro de pesquisa de ameaças cibernéticas Solar 4RAYS do Grupo Solar. Os hackers não tinham a tarefa de interromper o funcionamento dos elevadores, embora uma vulnerabilidade nos controladores tornasse isso possível. Eles usaram esse hack para atacar outras organizações.
Aproveitando-se de uma vulnerabilidade nos controladores do fornecedor de soluções para elevadores Tekon-Avtomatika, hackers colocaram neles servidores que foram usados em ataques a outros alvos: setor público, empresas de TI, telecomunicações e outras indústrias. Ao mesmo tempo, os hackers usaram o serviço Starlink da SpaceX para acessar a Internet.
Ao colocar servidores de controle em controladores de elevadores, os hackers provavelmente queriam dificultar a detecção de suas operações, acredita Dmitry Marichev, especialista do centro de pesquisa de ameaças cibernéticas Solar 4RAYS. Ele disse que em 2022 ficou conhecida uma forma de hackear esse equipamento por meio de um plugin especial. Ao fazer login no sistema, o hacker pode obter acesso a dados de diferentes sensores, etc. Depois disso, a empresa removeu o login e a senha padrão de seu site. Como os servidores de controle de hackers descobertos por especialistas foram implantados depois disso, isso significa que ou os usuários do sistema não alteraram a senha dos dispositivos ou os invasores conseguiram adivinhá-la por força bruta, observou Marichev. “Recomendamos que todas as organizações que utilizam tais equipamentos tomem medidas para fornecer proteção adicional contra tais ataques: realizem uma avaliação do comprometimento da infraestrutura de TI e fortaleçam as políticas de senha e, no mínimo, introduzam a autenticação de dois fatores”, disse ele.
Denis Kuvshinov, chefe do departamento de pesquisa de ameaças cibernéticas do centro especializado em segurança Positive Technologies, disse que a empresa chamou a atenção para a tentativa deste grupo de comprometer um desenvolvedor de software para sistemas SCADA, infectando o software para entregá-lo aos clientes. “Felizmente, isso falhou – o fabricante percebeu que algo estava errado a tempo”, disse ele.
Kuvshinov observou que os hackers estão procurando maneiras cada vez mais eficazes de entregar malware aos clientes, tentando ocultar suas ações tanto quanto possível, hackeando sistemas legítimos.
Maxim Akimov, chefe do centro de contramedidas contra ameaças cibernéticas Innostage SOC CyberART, disse que quase todas as organizações que atendem elevadores estão se esforçando para organizar o controle remoto de seus sistemas, instalando controladores adicionais mesmo em modelos de elevadores mais antigos. Segundo ele, neste caso é importante monitorar a segurança cibernética desses sistemas, atualizar regularmente o software e também verificar cuidadosamente os contratantes que podem se tornar uma porta de entrada para hackers.
O Diretor Geral da Stingray Technologies, Yuri Shabalin (parte do Swordfish Security Group), disse que com esses hacks, o máximo que ameaça os usuários é a necessidade de subir escadas enquanto o elevador não está funcionando. “Mas este incidente enfatiza a importância de uma regra universal: você não precisa conectar dispositivos que possam funcionar de forma autônoma à Internet, então nenhum hacker irá hackeá-los em princípio. Não há necessidade de criar vetores de ataque adicionais para os invasores”, alerta o especialista.