Аналитики Microsoft сообщают, что уязвимости в веб-серверах Boa, использование которых было прекращено еще в 2005 году, используются для взлома организаций энергетического сектора.
Еще в 2021 году компания Recorded Future обнаружила китайскую хак-группу, которая атаковала энергосистемы в Индии. В апреле 2022 года те же исследователи опубликовали новый отчет, в котором описали атаки, предпринятые другим «правительственными хакерами» из Китая против индийского энергетического сектора.
Тогда злоумышленники атаковали нескольких индийских операторов электросетей, скомпрометировали национальную систему реагирования на чрезвычайные ситуации, а также дочернюю компанию неназаванной логистической компании.
Специалисты Recorded Future не сообщали ничего о векторе атак, использованном хакерами, но теперь аналитики Microsoft Security Threat Intelligence пишут, что злоумышленники использовали уязвимый компонент опенсорсного веб-сервера Boa. Его разработка была прекращена еще в 2005 году, однако Boa по-прежнему используется многими IoT-девайсами (от маршрутизаторов до «умных» камер), так как включен в популярные SDK.
Так как Boa является одним из компонентов, используемых для входа в систему и доступа к управлению IoT-устройствами, это значительно увеличивает риск взлома критической инфраструктуры с помощью уязвимых IoT-девайсов, на которых работает уязвимый веб-сервер.
По данным Microsoft, всего за неделю по всему миру было обнаружено более 1 млн компонентов сервера Boa, доступных через интернет.
«Серверы Boa подвержены нескольким известным уязвимостям, включая доступ к произвольным файлам (CVE-2017-9833) и раскрытие информации (CVE-2021-33558), — пишут исследователи. —Microsoft продолжает наблюдать, как злоумышленники пытаются использовать уязвимости в Boa <...>, то есть веб-сервер по-прежнему является вектором атак».
По сути, неаутентифицированный злоумышленник может воспользоваться этими уязвимостями, чтобы получить учетные данные пользователя, а затем использовать их для удаленного выполнения кода. К примеру, в ходе одной из последних атак с использованием этих уязвимостей, операторы вымогателя Hive скомпрометировали крупнейшую индийскую энергетическую компанию Tata Power.
«Атака, подробно описанная в отчете Recorded Future, была одной из нескольких попыток вторжения в критическую инфраструктуру Индии, предпринимаемых с 2020 года. При этом последняя атака была подтверждена в октябре 2022 года, — пишут аналитики. — Популярность веб-сервера Boa свидетельствует о потенциальном риске, который несет незащищенная цепочка поставок, даже если к устройствам в сети применяются передовые методы обеспечения безопасности».
