Microsoft: Statssponsede hackere utnytter sårbarheten i Log4j

Det kritiske Apache Log4j 2-sårbarheten baner vei for statssponsede hackere til å stjele data og starte løsepenge-angrep, ifølge Microsoft. 

På tirsdag, selskapet advarte den hadde observert nasjonalstatlige hackergrupper fra Kina, Iran, Nord-Korea og Tyrkia som forsøkte å utnytte Log4j 2-feilen. Aktivitetene deres inkluderer å eksperimentere med feilen og misbruke feilen for å slippe ondsinnede nyttelaster og trekke ut data fra ofre. 

Ifølge Microsoft skal en iransk hackergruppe, kalt Phosphorus eller Charming Kitten, ha utnyttet Log4j 2 for å spre løsepengeprogramvare. En egen gruppe fra Kina kalt Hafnium har blitt observert som utnytter sårbarheten for å hjelpe den med å målrette potensielle ofre. 

"I disse angrepene ble Hafnium-assosierte systemer observert ved å bruke en DNS-tjeneste som vanligvis er assosiert med testing av aktivitet til fingeravtrykksystemer," sa Microsoft. 

Sårbarheten vekker alarmklokker fordi Apaches Log4j 2-programvare brukes på tvers av internettindustrien som et verktøy for å logge endringer i en programvare eller nettapplikasjon. Ved å utnytte feilen kan en hacker bryte seg inn i et IT-system for å stjele data eller kjøre et skadelig program. Det hjelper ikke problemet er at feilen er triviell å sette opp, noe som gjør det altfor enkelt for noen å utnytte den. 

Rapporten fra Microsoft understreker behovet for at hele teknologibransjen skal rette opp feilen før kaos oppstår. Selskapet identifiserte ikke de statsstøttede hackergruppene fra Nord-Korea eller Tyrkia. Men Microsoft la til at andre cyberkriminelle grupper, kalt «tilgangsmeglere», har blitt oppdaget utnytte Log4j 2-feilen for å få fotfeste i nettverk. 

"Disse tilgangsmeglerne selger deretter tilgang til disse nettverkene til ransomware-as-a-service-tilknyttede selskaper," sa Microsoft. "Vi har observert disse gruppene som forsøker utnyttelse på både Linux- og Windows-systemer, noe som kan føre til en økning i menneskestyrt løsepengeprogramvare på begge disse operativsystemplattformene."

Andre cybersikkerhetsselskaper, inkludert Mandiant, har også sett statsstøttede hackergrupper fra Kina og Iran som sikter mot feilen. "Vi forventer at andre statlige aktører også gjør det, eller forbereder seg på det," sa Mandiant VP of Intelligence Analysis John Hultquist. "Vi tror disse aktørene vil jobbe raskt for å skape fotfeste i ønskelige nettverk for oppfølgingsaktivitet, som kan vare en stund."