האקרים סינים ניצלו את Log4j לניסיונות פריצה למוסדות אקדמיים
ההאקרים ניסו להתקין נוזקות בקרב הקורבנות לאחר שהשיגו גישה למערכות המחשוב של המוסדות באמצעות ניצול גרסה של Log4j לסביבות וירטואליות של VMWare Horizon ● חוקרים שיבשו את המתקפה לפני שהם השלימו את המשימה
קבוצת האקרים סינית, שידועה בעיסוקה בריגול תעשייתי ובאיסוף מודיעין, השתמשה בחולשה החמורה Log4j כדי לתקוף מוסד אקדמי גדול – כך חשפו חוקרי קראודסטרייק בסוף השבוע.
חוקרי האיומים של חברת האבטחה הבחינו בקבוצת ההאקרים כשהיא ניסתה להתקין נוזקות בקרב קורבנות, לאחר שהשיגה גישה למערכות המחשוב שלהם באמצעות ניצול גרסה של Log4j לסביבות וירטואליות של VMWare Horizon. החוקרים אף הבחינו כי ההאקרים הסינים מנסים להשיג אישורי גישה לטובת ניצול נוסף של החולשה.
בחודש שעבר פרסם מערך הסייבר הלאומי התרעה דחופה על חולשה חמורה, שעלולה להביא לחדירות למערכות המחשוב הארגוניות. החולשה התגלתה באחת התוכנות הפופולריות ביותר, שאמונות על תיעוד פעילות המשתמשים בשירותים אינטרנטיים. התוכנה, Log4j, משובצת כמעט בכל שירות אינטרנטי או אפליקציה מוכרים – טוויטר, אמזון, מיקרוסופט, מיינקראפט ועוד. היא נמצאת בכל מקום – משרתי iCloud וטוויטר, ועד לפתרונות IT ואבטחה ארגוניים, כמו גם מצלמות במעגל סגור (CCTV) ומדפסות. החבילה הפגיעה משמשת במיליוני יישומי ג'אווה. הסינים לא לבד: האקרים שלוחי מדינות נוספות ניצלו את החולשה.
חוקרי צ'ק פוינט, שהיו הראשונים לזהות את Log4j, צפו עד לפרסומה ביותר מ-840 ניסיונות ניצול שלה. משמע, היא הייתה עלולה לפגוע בכ-40% מהרשתות הארגוניות בעולם. ג'ן איסטרלי, ראשת CISA, אמרה לבכירים בסביבתה כי "החולשה היא אחת החמורות שהכרתי בימי חיי המקצועיים, אם לא החמורה שבהן. מאות מיליוני רכיבים עלולים להינזק ממנה".
כמה ימים לאחר ההתרעה של מערך הסייבר גילתה צ'ק פוינט שהאקרים מאיראן ניסו לתקוף באמצעות החולשה שבע מטרות ממשלתיות ועסקיות בישראל.
ההערכה: הקבוצה פעלה במשך שמונה חודשים
האנליסטים של קראודסטרייק מעריכים שהקבוצה העומדת מאחורי המתקפה, שאותה היא מכנה Aquatic Panda (דב פנדה ימי), הייתה פעילה לפחות מאז מאי 2020. פעילותה התמקדה בעיקר בתקיפות של יעדים ממגזרי התקשורת, הטכנולוגיה והממשל.
"כיוון שהמערכות שלנו הצליחו לשבש את המתקפה לפני שההאקרים השלימו את משימת התקיפה שלהם, לא הצלחנו לברר מהי כוונתם המדויקת", ציינו החוקרים. "עם זאת, ידוע שהיריב הזה משתמש בכלים שמשמרים את אחיזתו בסביבות הקורבן – כדי שיוכל לקבל גישה לקניין רוחני ולסודות מסחריים תעשייתיים אחרים". החוקרים לא ציינו בדיווח שלהם את זהות המוסד האקדמי שהותקף או את מיקומו הגיאוגרפי.
המחקר האחרון מהדהד עם ממצאים דומים של חוקרי מנדיאנט ומיקרוסופט, שלפני ימים אחדים דיווחו גם הם על פעילות של קבוצות איומים סיניות, שמנצלות את הפגיעות של Log4j. מיקרוסופט צפתה בהתקפות של הקבוצה הסינית Hafnium, שגם חבריה עשו שימוש בפגיעות נגד תשתית וירטואליזציה. הענקית מרדמונד גם הזהירה מפני מתקפות של קבוצות תקיפה שקשורות לאיראן, צפון קוריאה ולטורקיה, שמנצלות אף הן את החולשה.
תגובות
(0)