CIBERDELINCUENTES VULNERAN ORGANIZACIONES DE ENERGIA ELECTRICA

22/11/2022

BOLETÍN NRO 2022-695

Recientemente Microsoft comunico vulnerabilidades de seguridad que afectan a un servidor web descontinuado desde 2005 se han utilizado para apuntar y comprometer organizaciones en el sector energético.

 

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: CVE-2017-9833, CVE-2021-33558                                    Severidad:   ALTA

Según investigadores de seguridad, en un informe publicado, los grupos de ciberdelincuentes chinos respaldados por el estado (incluido uno identificado como RedEcho) se dirigieron a múltiples operadores de redes eléctricas indias, comprometiendo un sistema de respuesta de emergencia nacional indio y la subsidiaria de una empresa multinacional de logística.

Los atacantes obtuvieron acceso a las redes internas de las entidades vulneradas a través de cámaras expuestas a Internet en sus redes como servidores de comando y control.

Además de apuntar a los activos de la red eléctrica, también identificamos el compromiso de un sistema nacional de respuesta a emergencias y la subsidiaria india de una empresa multinacional de logística por parte del mismo grupo de actividades de amenazas, comunico Recorded Future.

Para lograr esto, el grupo probablemente comprometió y capto dispositivos de cámara IP/DVR orientados a Internet para comando y control (C2) de infecciones de malware Shadowpad, así como el uso de la herramienta de código abierto FastReverseProxy.

Microsoft comunicó que los atacantes explotaron un componente vulnerable en el servidor web Boa, una solución de software descontinuada desde 2015 que todavía utilizan los dispositivos IoT (desde routers hasta cámaras).

Boa es uno de los componentes empleados para iniciar sesión y acceder a las consolas de administración de los dispositivos IoT, lo que aumenta significativamente el riesgo de que se vulnere la infraestructura crítica a través de dispositivos vulnerables y expuestos a Internet que ejecutan el servidor web vulnerable.

Los servidores de Boa se ven afectados por varias vulnerabilidades conocidas, incluido el acceso a archivos (CVE-2017-9833) y la divulgación de información (CVE-2021-33558), comunicaron los investigadores de Microsoft.

Los atacantes pueden explotar estas fallas de seguridad sin necesidad de autenticación para ejecutar código de forma remota después de robar credenciales al acceder a archivos con información confidencial en el servidor de destino.

Indicadores de Compromiso

IP

122[.]117[.]212[.]65

103[.]58[.]93[.]133

125[.]141[.]38[.]53

14[.]45[.]33[.]239

14[.]55[.]86[.]138

183[.]108[.]133[.]29

183[.]99[.]53[.]180

220[.]94[.]133[.]121

58[.]76[.]177[.]166

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Adoptar una solución integral de IoT y OT.
• Aplique parches a los dispositivos vulnerables siempre que sea posible.
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Hackers breach energy orgs via bugs in discontinued web server
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​