In un’analisi pubblicata martedì, i ricercatori Microsoft hanno reso noto che alcuni hacker stanno sfruttando un server Web che è stato ritirato nel 2005 ma è ancora presente in molti dei comuni dispositivi Internet of Things (IoT) per prendere di mira alcune società del settore energetico.
I ricercatori hanno scoperto una componente open source vulnerabile nel server Web Boa, ancora molto utilizzato per esempio in alcune telecamere di sicurezza, ma che è stato ritirato a partire dal 2005. Microsoft ha scoperto la presenza di questa componente vulnerabile in molti dispositivi mentre indagava su una intrusione nella rete elettrica indiana descritta per la prima volta da Recorded Future, una società di sicurezza informatica, ad aprile. In quel caso, alcuni hacker sostenuti dallo Stato cinese hanno utilizzato i dispositivi IoT che avevano questo server per infiltrarsi in alcune reti di tecnologia operativa (OT).
Microsoft ha affermato che l’attacco più recente che ha osservato è stato la compromissione di Tata Power, una società di servizi elettrici indiana, avvenuta a ottobre. Questa violazione ha portato il gruppo di hacker Hive, che compie attacchi ransomware, a pubblicare i dati dell’azienda energetica indiana che includevano informazioni sensibili sui dipendenti, sui disegni tecnici, sui documenti finanziari e bancari e sui documenti dei clienti.
La società ha detto che intervenire su questo tipo di attacchi è difficile perché sebbene il server sia stato ritirato è ancora molto diffuso e utilizzato. Inoltre, è integrato in modo complesso nei dispositivi IoT. Microsoft ha consigliato alle organizzazioni e agli operatori di rete di identificare i dispositivi con componenti vulnerabili e di segnalarli con delle apposite etichette oltre che di configurare le regole di rilevamento per identificare attività dannose.