Microsoft: Statssponsorerede hackere udnytter Log4j-sårbarheden

Den kritiske Apache Log4j 2-sårbarhed baner vejen for statssponsorerede hackere til at stjæle data og iværksætte ransomware-angreb, ifølge Microsoft. 

Tirsdag, virksomheden advarede det havde observeret nationalstats hackergrupper fra Kina, Iran, Nordkorea og Tyrkiet, der forsøgte at udnytte Log4j 2-fejlen. Deres aktiviteter inkluderer at eksperimentere med fejlen og misbruge fejlen til at slippe ondsindede nyttelaster og udtrække data fra ofre. 

Ifølge Microsoft har en iransk hackergruppe, kaldet Phosphorus eller Charming Kitten, angiveligt udnyttet Log4j 2 til at sprede ransomware. En separat gruppe fra Kina kaldet Hafnium er blevet observeret, der udnytter sårbarheden til at hjælpe den med at målrette potentielle ofre. 

"I disse angreb blev Hafnium-associerede systemer observeret ved hjælp af en DNS-tjeneste, der typisk er forbundet med testaktivitet til fingeraftrykssystemer," sagde Microsoft. 

Sårbarheden vækker alarmklokker, fordi Apaches Log4j 2-software bruges på tværs af internetindustrien som et værktøj til at logge ændringer i en software eller webapplikation. Ved at udnytte fejlen kan en hacker bryde ind i et it-system for at stjæle data eller køre et ondsindet program. Det hjælper ikke på problemet er, hvordan fejlen er triviel at sætte op, hvilket gør det alt for nemt for nogen at udnytte det. 

Rapporten fra Microsoft understreger behovet for, at hele teknologiindustrien retter fejlen, før kaos opstår. Virksomheden identificerede ikke de statssponsorerede hackergrupper fra Nordkorea eller Tyrkiet. Men Microsoft tilføjede, at andre cyberkriminelle grupper, kaldet "adgangsmæglere", er blevet set udnytte Log4j 2-fejlen til at få fodfæste i netværk. 

"Disse adgangsmæglere sælger derefter adgang til disse netværk til ransomware-as-a-service-tilknyttede selskaber," sagde Microsoft. "Vi har observeret, at disse grupper forsøger at udnytte på både Linux- og Windows-systemer, hvilket kan føre til en stigning i menneske-drevet ransomware-påvirkning på begge disse operativsystemplatforme."

Andre cybersikkerhedsvirksomheder, herunder Mandiant, har også set statssponsorerede hackergrupper fra Kina og Iran, der sigter mod fejlen. "Vi forventer, at andre statslige aktører også gør det eller forbereder sig på det," sagde Mandiant VP for efterretningsanalyse John Hultquist. "Vi tror på, at disse aktører vil arbejde hurtigt for at skabe fodfæste i ønskværdige netværk til opfølgende aktivitet, som kan vare i nogen tid."