Microsoft: спансаваныя дзяржавай хакеры выкарыстоўваюць уразлівасць Log4j

Паводле Microsoft, крытычная ўразлівасць Apache Log4j 2 адкрывае шлях для хакераў, спансаваных дзяржавай, для крадзяжу дадзеных і запуску атакі праграм-вымагальнікаў. 

У аўторак кампанія папярэдзілі ён назіраў хакерскія групы нацыянальных дзяржаў з Кітая, Ірана, Паўночнай Карэі і Турцыі, якія спрабавалі выкарыстаць недахоп Log4j 2. Іх дзейнасць ўключае ў сябе эксперыменты з памылкай і злоўжыванне недахопам для выдалення шкоднасных карысных нагрузак і здабывання даных з ахвяр. 

Па дадзеных Microsoft, іранская хакерская група пад назвай Phosphorus або Charming Kitten нібыта выкарыстоўвае Log4j 2 для распаўсюджвання праграм-вымагальнікаў. Асобная група з Кітая пад назвай Hafnium была заўважана, якая выкарыстоўвае ўразлівасць, каб дапамагчы ёй нацэліцца на патэнцыйных ахвяр. 

«Пры гэтых атаках назіраліся сістэмы, звязаныя з гафніем, з выкарыстаннем службы DNS, звычайна звязанай з тэставаннем сістэм адбіткаў пальцаў», — заявілі ў Microsoft. 

Уразлівасць выклікае трывогу, таму што праграмнае забеспячэнне Log4j 2 Apache выкарыстоўваецца ва ўсёй інтэрнэт-індустрыі ў якасці інструмента для рэгістрацыі змяненняў у праграмным забеспячэнні або вэб-прыкладанні. Выкарыстоўваючы недахоп, хакер можа ўзламаць ІТ-сістэму, каб скрасці дадзеныя або запусціць шкоднасную праграму. Не дапамагае праблема ў тым, што недахоп трывіяльны для ўстаноўкі, што робіць яго занадта лёгкім для ўсіх, каб выкарыстоўваць яго. 

У справаздачы Microsoft падкрэсліваецца неабходнасць ліквідацыі недахопу ўсёй тэхналагічнай галіны да таго, як наступіць хаос. Кампанія не ідэнтыфікавала спансаваныя дзяржавай хакерскія групы з Паўночнай Карэі ці Турцыі. Але Microsoft дадала, што іншыя кіберзлачынныя групы, званыя «брокерамі доступу», былі заўважаныя, якія выкарыстоўваюць памылку Log4j 2, каб замацавацца ў сетках. 

"Гэтыя брокеры доступу затым прадаюць доступ да гэтых сетак філіялам-вымагальнікам як паслуга", - заявілі ў Microsoft. «Мы назіралі, як гэтыя групы спрабавалі выкарыстоўваць як Linux, так і Windows, што можа прывесці да ўзмацнення ўздзеяння праграм-вымагальнікаў, якія кіруюцца людзьмі, на абедзве гэтыя платформы аперацыйных сістэм».

Іншыя кампаніі па кібербяспецы, у тым ліку Mandiant, таксама заўважылі хакерскія групы з Кітая і Ірана, якія арыентуюцца на гэтую памылку. «Мы чакаем, што іншыя дзяржаўныя суб'екты таксама робяць гэта або рыхтуюцца да гэтага», - сказаў віцэ-прэзідэнт па аналізе выведкі Джон Халтквіст. «Мы лічым, што гэтыя суб'екты будуць працаваць хутка, каб стварыць плацдармы ў жаданых сетках для наступнай дзейнасці, якая можа доўжыцца некаторы час».