Microsoft: Devlet Destekli Bilgisayar Korsanları Log4j Güvenlik Açığını Kullanıyor

Microsoft'a göre kritik Apache Log4j 2 güvenlik açığı, devlet destekli bilgisayar korsanlarının verileri çalmasının ve fidye yazılımı saldırıları başlatmasının yolunu açıyor. 

Salı günü, şirket uyardı Çin, İran, Kuzey Kore ve Türkiye'den ulus devlet hack gruplarının Log4j 2 açığından yararlanmaya çalıştığını gözlemlemişti. Faaliyetleri arasında, hatayla denemeler yapmak ve kötü amaçlı yükleri düşürmek ve kurbanlardan veri çıkarmak için kusuru kötüye kullanmak yer alıyor. 

Microsoft'a göre, Phosphorus veya Charming Kitten adlı İranlı bir bilgisayar korsanlığı grubunun, fidye yazılımı yaymak için Log4j 2'yi kullandığı iddia ediliyor. Çin'den Hafnium adlı ayrı bir grubun, potansiyel kurbanları hedef almasına yardımcı olmak için güvenlik açığından yararlandığı gözlemlendi. 

Microsoft, "Bu saldırılarda, Hafnium ile ilişkili sistemler, tipik olarak parmak izi sistemlerine yönelik test etkinliğiyle ilişkilendirilen bir DNS hizmeti kullanılarak gözlemlendi" dedi. 

Güvenlik açığı alarm zillerini yükseltiyor çünkü Apache'nin Log4j 2 yazılımı internet endüstrisinde bir yazılım veya web uygulamasındaki değişiklikleri kaydetmek için bir araç olarak kullanılıyor. Bir bilgisayar korsanı, kusurdan yararlanarak verileri çalmak veya kötü amaçlı bir program çalıştırmak için bir BT sistemine girebilir. Soruna yardımcı olmamak, kusurun kurulmasının ne kadar önemsiz olduğu ve herkesin onu istismar etmesini çok kolaylaştırıyor. 

Microsoft'tan gelen rapor, tüm teknoloji endüstrisinin kargaşa çıkmadan önce kusuru düzeltmesi ihtiyacının altını çiziyor. Şirket, Kuzey Kore veya Türkiye'den devlet destekli bilgisayar korsanlığı gruplarını belirlemedi. Ancak Microsoft, "erişim aracıları" olarak adlandırılan diğer siber suçlu gruplarının, ağlara tutunmak için Log4j 2 hatasını sömürdüğünün tespit edildiğini de sözlerine ekledi. 

Microsoft, "Bu erişim komisyoncuları daha sonra bu ağlara erişimi bir hizmet olarak fidye yazılımı bağlı kuruluşlarına satıyor" dedi. "Bu grupların hem Linux hem de Windows sistemlerinde istismar girişiminde bulunduğunu gözlemledik, bu da bu işletim sistemi platformlarının her ikisi üzerinde insan tarafından işletilen fidye yazılımı etkisinin artmasına neden olabilir."

Mandiant da dahil olmak üzere diğer siber güvenlik şirketleri de Çin ve İran'dan devlet destekli hack gruplarının kusuru hedef aldığını tespit etti. Mandiant İstihbarat Analizi Başkan Yardımcısı John Hultquist, “Diğer devlet aktörlerinin de bunu yaptığını veya yapmaya hazır olduğunu tahmin ediyoruz” dedi. "Bu aktörlerin, bir süre sürebilecek, takip faaliyetleri için arzu edilen ağlarda ayak izleri oluşturmak için hızla çalışacaklarına inanıyoruz."