Microsoft ha individuato in che modo vengono portati a termine attacchi contro alcune reti energetiche: sfruttando un web server che è possibile trovare in vari dispositivi per l’Internet of Things (IoT).
Ricercatori di Microsoft hanno individuato una vulnerabilità in un componente open source di Boa, un web server usato per applicazioni embedded, non più sviluppato ma ancora presente in alcuni router, telecamere di sicurezza, e anche in alcuni kit di sviluppo (SDK), nonostante non sia più sviluppato dal 2005.
La Casa di Redmond ha individuato il componente in questione indagando sulla modalità di intrusione della rete elettrica indiana, individuata per la prima volta da Recorded Future, una società di sicurezza informatica, ad aprile. Nell’evento in questione, cybercriminali sostenuti dallo Stato cinese hanno sfruttato dispositivi IoT che integravano questo server per infiltrarsi in alcune reti di tecnologia operativa (OT), monitorando e controllando fisicamente sistemi industriali.
Microsoft riferisce di avere individuato un milione di server Boa attivi su internet nell’arco di una settimana, avvisando che la vulnerabilità “rappresenta un rischio per la catena di approvvigionamento”, un problema che “può interessare milioni di organizzazioni e dispositivi”. L’azienda riferisce che sta continuando a osservare attacchi e che questi, portati a termine, consentendo di raccogliere informazioni sugli asset di rete e ottenere credenziali senza essere notati.
Microsoft riferisce ancora che mitigare una falla di questo tipo non è facile per via della popolarità di questo web server, e la complessa natura del funzionamento dei dispositivi IoT nella supply chain. Si raccomanda alle organizzazioni e agli operatori di rete di applicare, quando possibile, le patch disponibili e configurare regole di rilevamento per identificare attività malevole.
L’attacco più recente che è stato osservato è stato la compromissione di Tata Power, società di servizi elettrici indiana, avvenuto a ottobre: un gruppo di cybercriminali noto come Hive ha pubblicato dati dell’azienda energetica indiana, incluse informazioni sensibili sui dipendenti, disegni tecnici, documenti finanziari e bancari e documenti dei clienti.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione del nostro sito.
