Grupo usa bug em servidor web para violar empresas de energia

De acordo com os dados da plataforma Microsoft Defender Threat Intelligence, mais de 1 milhão de componentes de servidor web Boa expostos à internet foram detectados online em todo o mundo em uma única semana
Da Redação
22/11/2022

A Microsoft disse nesta terça-feira, 22, que as vulnerabilidades de segurança encontradas um servidor web descontinuado desde 2005 foram usadas para atingir e comprometer empresas do setor de energia. Relatório publicado em abril pela empresa de cibersegurança Recorded Future revelou que um grupos de hackers chineses apoiados por Pequim — incluindo um rastreado como RedEcho — visaram várias operadoras de redes elétricas indianas, comprometendo um sistema nacional de resposta a emergências e a subsidiária de uma empresa multinacional de logística.

Os invasores obtiveram acesso às redes internas das entidades hackeadas por meio de câmeras expostas à Internet em suas redes como servidores de comando e controle. “Além do direcionamento dos ativos da rede elétrica, também identificamos o comprometimento de um sistema nacional de resposta a emergências e da subsidiária indiana de uma empresa multinacional de logística pelo mesmo grupo de atividades de ameaças”, disse a Recorded Future.

“Para conseguir isso, o grupo provavelmente comprometeu e cooptou dispositivos de câmera DVR/IP voltados para a internet para comando e controle (C&C) de infecções pelo malware Shadowpad, bem como o uso da ferramenta de código aberto FastReverseProxy”, acrescentou a empresa.

Embora a Recorded Future não tenha expandido o vetor de ataque, a Microsoft disse hoje que os invasores exploraram um componente vulnerável no servidor web Boa, uma solução de software descontinuada desde 2015 que ainda está sendo usada por dispositivos IoT (de roteadores a câmeras).

O Boa é um dos componentes usados ​​para acessar os consoles de gerenciamento de dispositivos IoT, o que aumenta significativamente o risco de infraestrutura crítica ser violada por meio de dispositivos vulneráveis ​​e expostos à internet executando o servidor web vulnerável.

A equipe de inteligência em ameaças de segurança da Microsoft disse que os servidores Boa são difundidos em dispositivos IoT principalmente devido à inclusão do servidor web em kits de desenvolvimento de software (SDKs) populares.

De acordo com os dados da plataforma Microsoft Defender Threat Intelligence, mais de 1 milhão de componentes de servidor Boa expostos à internet foram detectados online em todo o mundo em uma única semana. “Os servidores Boa são afetados por várias vulnerabilidades conhecidas, incluindo acesso arbitrário a arquivos (CVE-2017-9833) e divulgação de informações (CVE-2021-33558)”, disseram os pesquisadores da empresa.

Veja isso
Grupo hacker Hive assume ataque e vaza dados da Tata Power
Energia: ataques comprometerão vidas, propriedades, ambiente

A Microsoft disse que continua registrando invasores tentando explorar as vulnerabilidades do Boa além do prazo do relatório divulgado, indicando que ainda é alvo de um vetor de ataque.

Os invasores podem explorar essas falhas de segurança sem exigir autenticação para executar código remotamente após roubar credenciais acessando arquivos com informações confidenciais no servidor de destino. Em um dos ataques mais recentes que exploravam as vulnerabilidades observadas pela Microsoft, o ransomware Hive invadiu a maior empresa de energia integrada da Índia, a Tata Power, no mês passado.

“O ataque detalhado no relatório Recorded Future foi uma das várias tentativas de invasão na infraestrutura crítica indiana desde 2020, com o ataque mais recente a ativos de TI confirmado em outubro de 2022”, disse a fabricante de software. 

A Microsoft avalia que os servidores Boa estavam sendo executados nos endereços IP da lista de IOCs (indicadores de comprometimento) publicada pela Recorded Future no momento do lançamento do relatório e que o ataque à rede elétrica teve como alvo os dispositivos IoT expostos executando o Boa.

Compartilhar:

Últimas Notícias