Η Microsoft προειδοποιεί για τη κακόβουλη στόχευση ενεργειακών δικτύων, μέσω παροπλισμένου λογισμικού δεκαετιών

Η Microsoft προειδοποιεί ότι κακόβουλοι χρήστες εκμεταλλεύονται παροπλισμένους server που δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας και χρησιμοποιείται σε κοινές συσκευές Internet of Things (IoT) για να στοχεύσουν οργανισμούς στον ενεργειακό τομέα.

Σε μια ανάλυση που δημοσιεύθηκε την Τρίτη, ερευνητές της Microsoft δήλωσαν ότι ανακάλυψαν ένα ευάλωτο στοιχείο ανοιχτού κώδικα στον διακομιστή ιστού Boa, το οποίο εξακολουθεί να χρησιμοποιείται ευρέως σε μια σειρά δρομολογητών και καμερών ασφαλείας, καθώς και σε δημοφιλή κιτ ανάπτυξης λογισμικού (SDK), παρά την απόσυρση του λογισμικού το 2005. Η Microsoft to αναγνώρισε κατά τη διερεύνηση μιας ύποπτης εισβολής στο ηλεκτρικό δίκτυο στην Ινδία που αναφέρθηκε για πρώτη φορά από το Recorded Future τον Απρίλιο, όπου οι Κινέζοι επιτιθέμενοι χρησιμοποίησαν συσκευές IoT για να αποκτήσουν πρόσβαση σε δίκτυα λειτουργικής τεχνολογίας (OT), που χρησιμοποιούνται για την παρακολούθηση και τον έλεγχο βιομηχανικών συστημάτων.

Η Microsoft είπε ότι εντόπισε ένα εκατομμύριο server Boa που είναι εκτεθειμένα στο Διαδίκτυο παγκοσμίως σε διάστημα μιας εβδομάδας, προειδοποιώντας ότι το ευάλωτο στοιχείο ενέχει «κίνδυνο στην εφοδιαστική αλυσίδα που μπορεί να επηρεάσει εκατομμύρια οργανισμούς και συσκευές».

Η εταιρεία πρόσθεσε ότι συνεχίζει να βλέπει εισβολείς να προσπαθούν να εκμεταλλευτούν ελαττώματα της Boa, τα οποία περιλαμβάνουν ένα σφάλμα αποκάλυψης πληροφοριών υψηλής σοβαρότητας (CVE-2021-33558) και ένα άλλο αυθαίρετο ελάττωμα πρόσβασης σε αρχεία (CVE-2017-9833).

«Οι γνωστές ευπάθειες που επηρεάζουν τέτοια στοιχεία μπορούν να επιτρέψουν σε έναν εισβολέα να συλλέγει πληροφορίες σχετικά με στοιχεία δικτύου πριν από την έναρξη επιθέσεων και να αποκτήσει πρόσβαση σε ένα δίκτυο που δεν ανιχνεύεται με την απόκτηση έγκυρων διαπιστευτηρίων», είπε η Microsoft, προσθέτοντας ότι αυτό μπορεί να επιτρέψει στους εισβολείς να κάνουν πολύ μεγάλη ζημιά μόλις ξεκινήσει η επίθεση.

Η Microsoft είπε ότι η πιο πρόσφατη επίθεση που παρατήρησε ήταν στην Tata Power τον Οκτώβριο. Αυτή η παραβίαση είχε ως αποτέλεσμα η ομάδα ransomware Hive να δημοσιεύει δεδομένα που κλάπηκαν από τον ινδικό ενεργειακό γίγαντα, τα οποία περιελάμβαναν ευαίσθητες πληροφορίες εργαζομένων, μηχανολογικά σχέδια, οικονομικά και τραπεζικά αρχεία, αρχεία πελατών και ορισμένα ιδιωτικά κλειδιά κρυπτογράφησης.

«Η Microsoft συνεχίζει να βλέπει εισβολείς να προσπαθούν να εκμεταλλευτούν τα τρωτά σημεία της Boa πέρα από το χρονικό πλαίσιο της δημοσιευμένης αναφοράς, υποδεικνύοντας ότι εξακολουθεί να στοχεύεται ως φορέας επίθεσης», δήλωσε η Microsoft.

Η εταιρεία έχει προειδοποιήσει ότι ο αντιμετώπιση των ελαττωμάτων της Boa είναι δύσκολος τόσο λόγω της συνεχιζόμενης δημοτικότητας του πλέον ανενεργού διακομιστή web όσο και της περίπλοκης φύσης του τρόπου με τον οποίο είναι ενσωματωμένος στην αλυσίδα εφοδιασμού συσκευών IoT. Η Microsoft συνιστά στους οργανισμούς και τους χειριστές δικτύων να "patchάρουν" τις ευάλωτες συσκευές όπου είναι δυνατόν, να αναγνωρίζουν συσκευές με ευάλωτα στοιχεία και να διαμορφώνουν κανόνες ανίχνευσης για τον εντοπισμό κακόβουλης δραστηριότητας.

Η προειδοποίηση της Microsoft υπογραμμίζει και πάλι τον κίνδυνο της εφοδιαστικής αλυσίδας από ελαττώματα σε ευρέως χρησιμοποιούμενες συσκευές δικτύου. Το Log4Shell, μια ευπάθεια zero-day που εντοπίστηκε πέρυσι στο Log4j, τη βιβλιοθήκη καταγραφής Apache ανοιχτού κώδικα, εκτιμάται ότι έχει επηρεάσει δυνητικά πάνω από τρία δισεκατομμύρια συσκευές.