Microsoft bugün, 2005 yılından bu yana durdurulan bir web sunucusunu etkilediği tespit edilen güvenlik açıklarının, enerji sektöründeki kuruluşları hedeflemek ve tehlikeye atmak için kullanıldığını söyledi.
Siber Güvenlik Şirketi'nin Nisan ayında yayınlanan bir raporda ortaya çıktığı geleceğe kaydedildiği gibi, devlet destekli Çin hack grupları (Redecho olarak izlenen biri dahil), bir Hint ulusal acil durum müdahale sistemini ve çok uluslu bir lojistik şirketinin yan kuruluşunu tehlikeye atarak birden fazla Hint elektrik ızgarası operatörünü hedefledi.
Saldırganlar, komut ve kontrol sunucuları olarak ağlarındaki internete maruz kalan kameralar aracılığıyla hacklenen varlıkların dahili ağlarına erişim kazandı.
Recorded Future, "Power şebekesi varlıklarının hedeflenmesine ek olarak, aynı tehdit faaliyet grubu tarafından ulusal bir acil durum müdahale sisteminin ve çok uluslu bir lojistik şirketinin Hindistan iştiraki uzlaşmasını da belirledik." Dedi.
"Bunu başarmak için grup, ShadowPad kötü amaçlı yazılım enfeksiyonlarının komut ve kontrolü (C2) ve açık kaynaklı araç FastreverseProxy'nin kullanımı için muhtemelen internete dönük DVR/IP kamera cihazlarını tehlikeye attı ve seçti"
Kaydedilen gelecek saldırı vektörü üzerinde genişlemese de Microsoft, saldırganların BOA web sunucusundaki savunmasız bir bileşenden yararlandığını söyledi, 2015'ten bu yana IoT cihazları (yönlendiricilerden kameralara) tarafından kullanılan bir yazılım çözümü.
BOA, IoT cihazlarının yönetim konsollarına giriş yapmak ve bunlara erişmek için kullanılan bileşenlerden biri olmak, kritik altyapının savunmasız web sunucusunu çalıştıran savunmasız ve internete maruz kalan cihazlar aracılığıyla ihlal etme riskini önemli ölçüde artırır.
Microsoft Güvenlik Tehdit İstihbarat Ekibi bugün BOA sunucularının IoT cihazlarında yaygın olduğunu, esas olarak web sunucusunun popüler yazılım geliştirme kitlerine (SDK) dahil edilmesi nedeniyle yaygın olduğunu söyledi.
Microsoft Defender Tehdit İstihbarat Platformu verilerine göre, tek bir hafta içinde dünya çapında çevrimiçi olarak 1 milyondan fazla internete maruz kalan BOA sunucu bileşeni tespit edildi.
Microsoft araştırmacıları, "BOA sunucuları, keyfi dosya erişimi (CVE-2017-9833) ve bilgi açıklaması (CVE-2021-33558) dahil olmak üzere bilinen birkaç güvenlik açıkından etkileniyor." Dedi.
"Microsoft, yayınlanan raporun zaman diliminin ötesinde BOA güvenlik açıklarından yararlanmaya çalışan saldırganları görmeye devam ediyor ve bu da hala bir saldırı vektörü olarak hedeflendiğini gösteriyor."
Saldırganlar, hedeflenen sunucuda hassas bilgilerle dosyalara erişerek kimlik bilgilerini çaldıktan sonra kodu uzaktan yürütmesini gerektirmeden bu güvenlik kusurlarını kullanabilirler.
Microsoft tarafından gözlemlenen bu güvenlik açıklarını kötüye kullanan en son saldırılardan birinde, Hive fidye yazılımı Hindistan'ın en büyük entegre enerji şirketi Tata Power'ı geçen ay hackledi.
Redmond, "Kaydedilen gelecek raporunda detaylandırılan saldırı, 2020'den bu yana Hindistan kritik altyapısı üzerindeki birkaç saldırı girişiminden biriydi ve BT varlıklarına en son saldırı Ekim 2022'de doğrulandı." Dedi.
"Microsoft, BOA sunucularının raporun sürümü sırasında kaydedilen IOCS listesindeki IP adreslerinde çalıştığını ve elektrik ızgarası saldırısının BOA'yı çalıştıran IOT cihazlarını hedef aldığını değerlendiriyor."
Tata Power, olayın arkasındaki tehdit aktörleri ile ilgili ek ayrıntılar paylaşmadan 14 Ekim'de bir hisse senedi dosyalamasında "BT altyapısına" bazı BT sistemlerini etkileyen bir siber saldırı açıkladı.
Hive fidye yazılımı çetesi daha sonra Tata Power'ın ağlarından çaldığını iddia ettikleri verileri yayınladı ve fidye müzakerelerinin başarısız olduğunu gösterdi.
FBI: Hive fidye yazılımı, 1.300'den fazla kurbandan 100 milyon dolarlık zorlandı
Microsoft, kötü amaçlı yazılımları itmek için Windows Zero-Day hatasını çözer
Microsoft Kasım 2022 Patch Salı Düzeltmeleri 6 Sıralı Sıfır Günleri, 68 Kusur
Microsoft: Vice Society, birden fazla fidye yazılımı ailesi olan okulları hedefliyor
Hive, Tata Power'a yönelik fidye yazılımı saldırısının iddia ettiği, verileri sızdırmaya başlar
Kaynak: Bleeping Computer