מיקרוסופט: האקרים בחסות המדינה מנצלים את הפגיעות של Log4j

הפגיעות הקריטית של Apache Log4j 2 סוללת את הדרך להאקרים בחסות המדינה לגנוב נתונים ולהשיק התקפות כופר, לפי מיקרוסופט. 

ביום שלישי החברה מוזהר היא צפה בקבוצות פריצה של מדינות לאום מסין, איראן, צפון קוריאה וטורקיה המנסות לנצל את הפגם ב-Log4j 2. הפעילויות שלהם כוללות ניסוי בבאג וניצול לרעה של הפגם כדי להוריד מטענים זדוניים ולחלץ נתונים מקורבנות. 

לפי מיקרוסופט, קבוצת פריצה איראנית, המכונה Phosphorus או Charming Kitten, ניצלה לכאורה את Log4j 2 כדי להפיץ תוכנות כופר. קבוצה נפרדת מסין בשם Hafnium נצפתה הממנפת את הפגיעות כדי לעזור לה לכוון לקורבנות פוטנציאליים. 

"בהתקפות אלו נצפו מערכות הקשורות ל- Hafnium תוך שימוש בשירות DNS המשויך בדרך כלל לפעילות בדיקת מערכות טביעות אצבע", אמרה מיקרוסופט. 

הפגיעות מעוררת פעמוני אזעקה מכיוון שתוכנת Log4j 2 של Apache משמשת בכל תעשיית האינטרנט ככלי לתיעוד שינויים בתוכנה או ביישום אינטרנט. על ידי ניצול הפגם, האקר יכול לפרוץ למערכת IT כדי לגנוב נתונים או להפעיל תוכנית זדונית. לא עוזר לבעיה זה איך הפגם הוא טריוויאלי להגדיר, מה שמקל על כל אחד לנצל אותו. 

הדו"ח ממיקרוסופט מדגיש את הצורך של תעשיית הטכנולוגיה כולה לתקן את הפגם לפני שהמהומה תתרחש. החברה לא זיהתה את קבוצות הפריצה בחסות המדינה מצפון קוריאה או טורקיה. אבל מיקרוסופט הוסיפה כי קבוצות פושעי סייבר אחרות, המכונות "ברוקרים גישה", נצפו מנצלות את באג Log4j 2 כדי להשיג דריסת רגל ברשתות. 

"מתווכי הגישה האלה מוכרים גישה לרשתות האלה לשותפים של תוכנות כופר כשירות", אמרה מיקרוסופט. "צפינו בקבוצות אלה המנסות ניצול הן במערכות לינוקס והן במערכות Windows, מה שעשוי להוביל לעלייה בהשפעת תוכנות הכופר המופעלות על ידי אדם על שתי פלטפורמות מערכות ההפעלה הללו."

חברות אבטחת סייבר אחרות, כולל Mandiant, הבחינו גם בקבוצות פריצה בחסות המדינה מסין ומאיראן המכוונות לפגם. "אנו צופים ששחקנים אחרים במדינה יעשו זאת גם כן, או מתכוננים לכך", אמר סמנכ"ל ניתוח המודיעין של מנדיאנט, ג'ון הולטקוויסט. "אנו מאמינים שהשחקנים הללו יפעלו במהירות כדי ליצור דריסת רגל ברשתות נחשקות לפעילות המשך, שעשויה להימשך זמן מה".