Microsoft: Valtion tukemat hakkerit käyttävät hyväkseen Log4j-haavoittuvuutta

Kriittinen Apache Log4j 2 -haavoittuvuus tasoittaa tietä valtion tukemille hakkereille, jotka voivat varastaa tietoja ja käynnistää kiristysohjelmahyökkäyksiä, Microsoftin mukaan. 

Tiistaina, yritys varoitti se oli havainnut kansallisvaltioiden hakkerointiryhmiä Kiinasta, Iranista, Pohjois-Koreasta ja Turkista, jotka yrittivät hyödyntää Log4j 2 -virhettä. Heidän toimintoihinsa kuuluu bugin kokeilu ja virheen väärinkäyttö haitallisten hyötykuormien pudottamiseksi ja tietojen poimimiseksi uhreilta. 

Microsoftin mukaan iranilainen hakkerointiryhmä, nimeltään Phosphorus tai Charming Kitten, on väitetysti käyttänyt Log4j 2:ta hyväkseen kiristysohjelmien levittämiseen. Erillinen Kiinasta peräisin oleva ryhmä nimeltä Hafnium on havaittu hyödyntävän haavoittuvuutta auttaakseen sitä kohdistamaan potentiaalisia uhreja. 

"Näissä hyökkäyksissä Hafniumiin liittyviä järjestelmiä havaittiin käyttämällä DNS-palvelua, joka tyypillisesti liittyy sormenjälkijärjestelmien testaukseen", Microsoft sanoi. 

Haavoittuvuus nostaa hälytyskelloja, koska Apachen Log4j 2 -ohjelmistoa käytetään kaikkialla Internet-teollisuudessa työkaluna ohjelmiston tai verkkosovelluksen muutosten kirjaamiseen. Virhettä hyödyntämällä hakkeri voi murtautua IT-järjestelmään varastaakseen tietoja tai suorittaakseen haittaohjelman. Ongelmaa ei auta se, että vian määrittäminen on vähäpätöistä, mikä tekee siitä liian helppoa kenenkään hyödyntää sitä. 

Microsoftin raportissa korostetaan, että koko teknologia-alan on korjattava virhe ennen sekasortoa. Yhtiö ei tunnistanut valtion tukemia hakkerointiryhmiä Pohjois-Koreasta tai Turkista. Mutta Microsoft lisäsi, että muut kyberrikollisryhmät, joita kutsutaan "pääsyvälittäjiksi", on havaittu hyödyntävän Log4j 2 -virhettä saadakseen jalansijaa verkkoihin. 

"Nämä pääsyvälittäjät myyvät sitten pääsyn näihin verkkoihin ransomware-as-a-service-tytäryhtiöille", Microsoft sanoi. "Olemme havainneet, että nämä ryhmät yrittävät hyödyntää sekä Linux- että Windows-järjestelmiä, mikä voi johtaa ihmisten käyttämien kiristysohjelmien vaikutuksen lisääntymiseen molemmissa käyttöjärjestelmäalustoissa."

Muut kyberturvallisuusyritykset, mukaan lukien Mandiant, ovat myös havainneet Kiinan ja Iranin valtion tukemia hakkerointiryhmiä, jotka ovat kohdistaneet virheen. "Odotamme, että muutkin valtion toimijat tekevät niin tai valmistautuvat siihen", sanoi Mandiantin tiedusteluanalyysin johtaja John Hultquist. "Uskomme, että nämä toimijat työskentelevät nopeasti luodakseen jalansijaa halutuissa verkostoissa jatkotoiminnalle, joka voi kestää jonkin aikaa."