В опубликованном во вторник отчете исследователи Microsoft сообщили, что обнаружили уязвимый компонент с открытым исходным кодом в веб-сервере Boa, который по-прежнему используется в различных маршрутизаторах и камерах безопасности, а также в популярных наборах для разработки ПО (SDK). И это все несмотря на то, что сам компонент перестали поддерживать еще в 2005 году.

Технологический гигант обнаружил этот компонент в ходе расследования кибератак на индийские электросети, раскрытые компанией Recorded Future. Тогда за серией атак стояли китайские государственные хакеры, которые атаковали по меньшей мере семь индийских диспетчерских центров, управляющих энергосетью в реальном времени.

Microsoft заявила, что в течение одной недели она выявила миллион подверженных интернет-атакам серверных компонентов Boa по всему миру, предупредив, что уязвимый компонент представляет собой риск для цепочки поставок, который может затронуть миллионы организаций и устройств. Компания добавила, что продолжает наблюдать попытки злоумышленников использовать уязвимости Boa ( CVE-2021-33558 , CVE-2017-9833 ). Эти бреши в защите позволяют злоумышленникам проводить разведку перед началом атак и незаметно получать доступ к сети, если у них будут нужные учетные данные.

Microsoft сообщила, что последней атакой с использованием уязвимостей Boa, которую она наблюдала, был взлом компании Tata Power в октябре. Тогда группировка Hive — группировка, работающая по RaaS-модели (Вредоносное ПО как услуга), предоставляя ПО в аренду другим хакерам и получая процент с каждой успешной вымогательской кампании.

Арендатор вредоносного ПО Hive может создать свою версию шифровальщика в течение 15 минут. Клиенты, имеющие доступ к панели Hive, могут видеть, сколько денег было собрано, какие компании заплатили выкуп и чьи данные были опубликованы на сайте утечек.

Частые цели Hive — критически важные организации, технологические компании, фирмы из сферы здравоохранения и транспорта.