„Microsoft“: valstybės remiami įsilaužėliai išnaudoja „Log4j“ pažeidžiamumą

„Microsoft“ teigimu, kritinis „Apache Log4j 2“ pažeidžiamumas atveria kelią valstybės remiamiems įsilaužėliams pavogti duomenis ir pradėti išpirkos reikalaujančių programų atakas. 

Antradienį įmonė įspėjo, ji stebėjo nacionalinių valstybių įsilaužimo grupes iš Kinijos, Irano, Šiaurės Korėjos ir Turkijos, bandančias išnaudoti Log4j 2 trūkumą. Jų veikla apima eksperimentavimą su klaida ir piktnaudžiavimą trūkumu, siekiant pašalinti kenksmingus krovinius ir išgauti duomenis iš aukų. 

„Microsoft“ teigimu, Irano įsilaužėlių grupė, pavadinta „Phosphorus“ arba „Charming Kitten“, tariamai išnaudojo „Log4j 2“, kad platintų išpirkos reikalaujančią programinę įrangą. Pastebėta, kad atskira Kinijos grupė, vadinama Hafnium, naudoja pažeidžiamumą, kad padėtų jai nukreipti potencialias aukas. 

„Šių atakų metu su Hafnium susijusios sistemos buvo stebimos naudojant DNS paslaugą, paprastai susijusią su pirštų atspaudų sistemų testavimo veikla“, – teigė „Microsoft“. 

Dėl pažeidžiamumo skamba pavojaus varpai, nes „Apache“ Log4j 2 programinė įranga naudojama visoje interneto pramonėje kaip įrankis programinės įrangos ar žiniatinklio programos pakeitimams registruoti. Pasinaudojęs šia klaida, įsilaužėlis gali įsilaužti į IT sistemą ir pavogti duomenis arba paleisti kenkėjišką programą. Problemos nepadeda, nes trūkumą nustatyti yra nereikšminga, todėl bet kas gali juo pasinaudoti. 

„Microsoft“ ataskaitoje pabrėžiama, kad visa technologijų pramonė turi pataisyti trūkumą prieš prasidedant chaosui. Bendrovė nenustatė valstybės remiamų įsilaužėlių grupių iš Šiaurės Korėjos ar Turkijos. Tačiau „Microsoft“ pridūrė, kad pastebėta, kad kitos kibernetinės nusikaltėlių grupės, vadinamos „prieigos brokeriais“, išnaudoja „Log4j 2“ klaidą, kad įsitvirtintų tinkluose. 

„Šie prieigos brokeriai parduoda prieigą prie šių tinklų ransomware-as-a-service filialams“, – sakė „Microsoft“. „Pastebėjome, kad šios grupės bando išnaudoti „Linux“ ir „Windows“ sistemas, o tai gali padidinti žmonių valdomų išpirkos programų poveikį abiem šių operacinių sistemų platformoms.

Kitos kibernetinio saugumo bendrovės, įskaitant „Mandiant“, taip pat pastebėjo valstybės remiamas įsilaužimo grupes iš Kinijos ir Irano, kurios taikosi į trūkumą. „Manome, kad kiti valstybės veikėjai taip pat daro arba ruošiasi“, – sakė „Mandiant“ žvalgybos analizės viceprezidentas Johnas Hultquistas. „Manome, kad šie veikėjai greitai dirbs, kad sukurtų atramas pageidaujamuose tinkluose, kad būtų galima tęsti veiklą, kuri gali trukti kurį laiką.