Comme prévu, les pirates informatiques de toutes sortes ont sauté sur l’opportunité d’exploiter la vulnérabilité critique récemment révélée (CVE-2021-44228) dans la bibliothèque de journalisation Apache Log4j Java.
Également connue sous le nom de Log4Shell ou LogJam, la vulnérabilité est désormais utilisée par des acteurs menaçants liés aux gouvernements de Chine, d’Iran, de Corée du Nord et de Turquie, ainsi que par des courtiers d’accès utilisés par des gangs de rançongiciels.
Tous les hackers passent à Log4Shell
Parmi les premiers acteurs de la menace à tirer parti de Log4Shell pour supprimer des charges utiles, il y a les groupes de minage de crypto-monnaie et les botnets, qui ont commencé à attaquer immédiatement après que le code d’exploit de preuve de concept soit devenu disponible.
Dans un rapport publié dimanche, le Microsoft Threat Intelligence Center (MSTIC) a observé que le bug critique Log4j était exploité pour supprimer les balises Cobalt Strike, ce qui pourrait indiquer que des acteurs plus menaçants étaient en jeu, car la charge utile fait souvent partie des violations de réseau.
Le MSTIC a mis à jour le rapport mardi pour ajouter qu’il a détecté une activité d’État-nation à l’aide de Log4Shell, parfois lors d’attaques actives. Les chercheurs ont suivi des groupes « des groupes originaires de Chine, d’Iran, de Corée du Nord et de Turquie ».
« Cette activité va de l’expérimentation pendant le développement, l’intégration de la vulnérabilité au déploiement de la charge utile dans la nature et à l’exploitation par rapport aux cibles pour atteindre les objectifs de l’acteur » Microsoft Threat Intelligence Center
L’un des acteurs est le groupe de menace iranien Phosphorus – également connu sous le nom de Charming Kitten, APT 35, que Microsoft a observé « acquérir et apporter des modifications » à l’exploit Log4Shell.
Contrairement à la plupart des groupes APT opérant de nos jours, Charming Kitten a également des antécédents d’attaques de ransomware, principalement pour perturber les opérations plutôt que d’encaisser, ainsi que des activités de cyberespionnage.
Hafnium, un groupe de piratage lié à la Chine, est un autre acteur de menace d’un État-nation qui profite du bug Log4Shell.
L’adversaire est devenu plus largement connu après avoir exploité les vulnérabilités zero-day de ProxyLogon dans Microsoft Exchange Server au cours de la période entre les bugs ont été signalés et un correctif est devenu disponible.
Microsoft dit que Hafnium utilise désormais Log4Shell dans les attaques contre l’infrastructure de virtualisation « pour étendre leur ciblage typique
Selon les chercheurs, les systèmes utilisés par Hafnium dans ces attaques utilisaient un service DNS normalement utilisé pour tester l’activité des machines d’empreintes digitales.
La société de cybersécurité Mandiant a confirmé que les acteurs étatiques chinois et iraniens utilisent la vulnérabilité Log4j dans les attaques et s’attend à ce que d’autres groupes fassent de même ou soient en phase de préparation.
John Hultquist, vice-président de l’analyse du renseignement chez Mandiant, a déclaré à EZpublish-france.fr que les adversaires ne perdront pas de temps à créer de la persistance sur les réseaux ciblés pour le développement futur de l’attaque.
«Nous pensons que ces acteurs travailleront rapidement pour créer des points d’ancrage dans des réseaux souhaitables pour une activité de suivi, qui peut durer un certain temps. Dans certains cas, ils travailleront à partir d’une liste de cibles souhaitées qui existaient bien avant que cette vulnérabilité ne soit de notoriété publique. Dans d’autres cas, des cibles souhaitables peuvent être sélectionnées après un ciblage large » – John Hultquist
Bien que le rapport du MSTIC mentionne également des groupes de piratage soutenus par l’État de Corée du Nord et de Turquie, les chercheurs n’ont fourni aucune information sur la façon dont ces acteurs ont exploité Log4Shell.
Attaques de ransomware à prévoir
Outre les acteurs étatiques, Microsoft a confirmé que les courtiers fournissant un accès initial au réseau à divers groupes, principalement motivés financièrement, ont également commencé à exploiter la faille Log4j.
Les courtiers d’accès initial travaillent généralement avec des opérations de ransomware-as-a-service (RaaS), auxquelles ils vendent l’accès aux réseaux d’entreprise compromis.
« Nous avons observé que ces groupes tentaient d’exploiter à la fois les systèmes Linux et Windows, ce qui peut entraîner une augmentation de l’impact des ransomwares exploités par l’homme sur ces deux plates-formes de système d’exploitation » – Microsoft Threat Intelligence Center
Log4Shell a déjà été utilisé dans une attaque de ransomware d’un nouvel acteur nommé Khonsari, selon un rapport de Bitdefender.
Sur la base des informations disponibles, Khonsari peut être utilisé pour effacer des données au lieu de les chiffrer, car sa demande de rançon comprend les coordonnées d’un propriétaire d’un magasin d’antiquités de Louisiane au lieu de l’attaquant.
Il n’est pas surprenant que Log4Shell ait attiré des pirates de toutes sortes. Le bug a un score de gravité maximal et peut être exploité à distance sans authentification pour prendre le contrôle total d’un système vulnérable. De plus, la bibliothèque Log4j vulnérable est incluse dans les produits de dizaines de fournisseurs.
Compte tenu des dommages que ce bug peut causer, la Cybersecurity Infrastructure Security Agency (CISA) a ordonné aux agences fédérales de corriger immédiatement les systèmes.