Posté le novembre 24, 2022 à 6:22

LES HACKERS EXPLOITENT LES RÉSEAUX D’ÉNERGIE À L’AIDE D’UNE ANCIENNE TECHNOLOGIE

Le géant technologique Microsoft a signalé qu’une technologie qui n’est plus utilisée depuis 2005 a été repérée comme étant utilisée par des acteurs de menaces pour lancer des attaques sur les réseaux d’énergie.

Selon l’entreprise, les acteurs de la menace ont de plus en plus accès aux réseaux sécurisés par le biais des appareils de l’Internet des objets (IoT) avant de déployer leurs charges utiles.

Cette annonce fait suite au rapport publié par Recorded Future en avril de cette année. Selon ce rapport, il y avait une intrusion présumée détaillée dans le réseau électrique en Inde où un composant commun, connu sous le nom de Boa Web Server, a été trouvé vulnérable.

Microsoft a déclaré que les serveurs Boa avaient plusieurs fonctionnalités, notamment la gestion des consoles, l’accès aux paramètres et les écrans de signature sur les appareils. Mais même s’ils ont été abandonnés depuis 2005, les hackers ont réussi à les exploiter et à les utiliser pour leurs campagnes de piratage. Les failles Boa permettent aux hackers d’accéder aux réseaux en collectant les données des fichiers.

Mais le géant technologique a déclaré avoir découvert que l’incident en Inde n’était qu’une des nombreuses autres intrusions menées par des hackers pour obtenir un accès non autorisé à l’infrastructure de la cible. Selon le géant technologique, l’attaque la plus récente remonte à octobre 2022.

Les données volées comprennent des dossiers financiers et des informations sur les employés

Certains détails reçus de l’incident de piratage dans le secteur de l’énergie en Inde ont montré que les données volées comprenaient des dossiers de clients, des dossiers financiers, des informations sensibles sur les employés, ainsi que des clés privées et des dessins techniques.

Le problème le plus commun à toutes les adresses IP évaluées par Microsoft est qu’elles utilisaient toutes des serveurs Boa. En outre, une analyse supplémentaire a montré que 10 % des adresses IP sont connectées à des industries critiques, telles que l’industrie pétrolière. Cela signifie que les acteurs de la menace s’intéressent davantage aux organisations critiques où ils ont plus de chances de gagner plus d’argent lorsqu’ils parviennent à pénétrer leurs systèmes.

En conséquence, les mêmes adresses IP ont été utilisées sur des appareils IoT comme des routeurs qui présentaient des failles non corrigées. Le géant technologique a indiqué qu’il avait continué à découvrir des attaques exploitant les failles Boa. L’augmentation des attaques sur cette vulnérabilité est le résultat de la grande popularité des serveurs web Boa, même après l’arrêt de Boa en 2005.

En l’espace d’une semaine, Microsoft a révélé que sa plate-forme Defender Threat Intelligence avait découvert plus d’un million de composants de serveurs Boa exposés à Internet dans le monde entier. Si le plus grand nombre d’attaques a été enregistré en Inde, Microsoft a également constaté un nombre important d’attaques au Brésil et aux États-Unis.

Les organisations doivent corriger les failles pour éviter d’être exposées

Microsoft a également exhorté les organisations à fournir des correctifs aux vulnérabilités afin de résoudre le problème. La responsabilité principale incombe aux opérateurs de réseaux qui doivent fournir un moyen plus efficace de protéger leurs réseaux contre les piratages réussis. Il leur a été conseillé d’adopter des mesures rigoureuses permettant de détecter les failles dans ces dispositifs avant de développer un correctif.

Recorded Future a par ailleurs révélé qu’en plus de viser le réseau électrique, les mêmes acteurs de la menace ont ciblé le système national d’intervention d’urgence, ainsi que la filiale Indienne de la multinationale de logistique.

Plus d’un million de composants de serveurs Boa découverts en ligne en une semaine

Les acteurs de la menace ont accédé au réseau interne de l’entité piratée par l’intermédiaire de caméras exposées sur Internet sur leurs réseaux en tant que serveurs de contrôle et de commande (C2).

Pour atteindre leur objectif, les hackers ont infiltré et coopté les dispositifs DVR/caméra IP orientés vers l’Internet pour C2 des infections par le logiciel malveillant Shadowpad. En outre, ils ont également utilisé l’outil open-source FastReverseProxy. L’équipe de sécurité de Microsoft a déclaré que les serveurs Boa sont omniprésents dans plusieurs appareils IoT en raison de l’inclusion du serveur web dans les kits de développement logiciel (SDK) populaires.

Microsoft a également révélé que plus d’un million de composants de serveurs Boa exposés à Internet ont été découverts en ligne en une semaine. Les chercheurs ont ajouté que les serveurs Boa sont affectés par plusieurs failles connues telles que la divulgation d’informations (CVE-2021-33558) et l’accès à des fichiers arbitraires (CVE-2017-9833).

Les acteurs de la menace ont continué à exploiter les vulnérabilités de Boa même après la période couverte par le rapport. Cela signifie que, malgré la série d’avertissements, la vulnérabilité est toujours largement exploitée.

Les acteurs de la menace peuvent exploiter la vulnérabilité de sécurité sans authentification. Ils ont la possibilité d’exécuter le code à distance après avoir volé des informations d’identification contenant des détails essentiels sur le serveur ciblé.

Ces vulnérabilités ont été exploitées à plusieurs reprises dans le passé. Dans l’un de ces exploits, le groupe de ransomware Hive a piraté Tata-Power, qui est la plus grande capacité électrique intégrée.