荐读丨电梯SCADA系统成为网络攻击跳板

2024年7月8日，俄罗斯发生一起针对公共部门和企业的大规模网络攻击，攻击方式是通过入侵电梯控制系统。东欧黑客组织Lifting Zmiy利用SCADA系统控制器的漏洞，侵入了各组织的IT基础设施。

据RBC 报道，攻击者将攻击重点放在了 Tekon-Avtomatika 公司的控制器上，该公司专门开发自动控制和电梯设备调度系统。

攻击者将服务器放置在被黑设备上，进而对其他目标发起攻击。尽管黑客没有直接影响电梯运行，但暴露了潜在的安全风险。

Solar 4RAYS Group 网络威胁研究中心报告称，此次攻击的受害者包括公共部门组织、IT 公司、电信企业和其他行业的机构。

Solar 4RAYS 专家强调，虽然没有直接干预电梯的运行，但从理论上讲，攻击者可能有这样的机会。Solar 4RAYS 网络威胁研究中心专家 Dmitry Marichev 指出，黑客的主要目标是通过在被黑客入侵的控制器上放置控制服务器来使对其活动的检测变得复杂。

早在2022年，Tekon-Avtomatika系统就被发现存在漏洞，制造商虽采取措施提高安全性，但一些用户未更新设备安全设置，留下了安全隐患。

专家建议相关组织加强IT基础设施安全，包括更新密码策略和引入双因素身份验证。 

根据Solar 4RAYS网络威胁研究中心提供的材料，东欧黑客组织Lifting Zmiy通过管理公寓楼电梯的服务器攻击了俄罗斯公司。黑客通过SCADA系统中的控制器（这些系统用于开发或实时操作监控和管理对象的信息收集、处理、显示和存档系统）实施攻击。他们在控制了SCADA系统的服务器，用于对其他目标进行攻击。受影响的控制器来自“Tekon-Automation”公司，该公司专门开发用于电梯的自动化管理和调度系统，这也是该组织名称的由来。通过这一漏洞受到攻击的组织包括政府部门、IT公司、电信公司等行业。

Solar 4RAYS网络威胁研究中心的专家德米特里·马里切夫(Dmitry Marichev)指出，专家发现的所有黑客控制服务器都是在此之后部署的，这可能意味着这些系统的某些用户没有更改其设备上的默认数据，或者他们确实更改了，但攻击者通过暴力破解找到了新密码。他强调：“我们建议所有使用此类设备的组织采取措施，针对此类攻击提供额外的保护：对IT基础设施的受损情况进行评估并加强密码策略，并至少引入双因素身份验证。” 

攻击的威胁是什么？安全专家中心Positive Technologies网络威胁研究部门负责人Denis Kuvshinov指出，该公司还看到了该组织的活动，黑客想要危害SCADA系统软件开发商，试图感染该软件并将其交付给客户。“

 Innostage SOC CyberART网络威胁中心负责人马克西姆·阿基莫夫(Maxim Akimov)指出，连接到互联网或其他数据网络的电梯确实可能容易受到黑客攻击，因为其运行所使用的软件和电子组件可能存在漏洞。

通过使用它们，攻击者将能够访问电梯控制系统，并能够导致内部设备发生故障和其他不正确操作的情况。

针对这种由OT系统攻击控制，进而实施向更多IT系统的攻击手法，遵循基本的最佳安全实践显得更加紧迫，这包括强化口令安全、启用双因素认证、及时更新与打补丁、网络隔离与监控、安全意识教育。