طبق اعلام مایکروسافت و دیگر شرکتهای امنیت سایبری، هکرهای وابسته به چین و دیگر دولتها از جمله گروههای بزرگی هستند که از یک نقص جدی و گسترده در نرمافزار سرور کامپیوتر به نفع خود استفاده میکنند. با اینکه مایکروسافت و چند شرکت امنیتی دیگر از تلاش هکرهای چینی، ایرانی و کرهشمالی برای استفاده از نقص در نرمافزار Log4j خبر دادهاند اما آژانسهای دولتی آمریکا که همواره رویکردی محافظهکارانهتر دارند هنوز هیچ دولتی را متهم نکردهاند.
به نقل از والاستریت ژورنال، هکرهایی که از نظر تحلیلگران وابسته به دولتهای مختلف هستند، در تلاشند تا از نقصی در نرمافزار Log4j برای نفوذ و آلوده کردن سرور و سیستمهای شرکتی استفاده کنند. این کد رایگان در واقع فعالیت شبکههای کامپیوتری و اپلیکیشنها را لاگ یا ثبت میکند.
محققان امنیت سایبری میگویند با یکی از مخوفترین تهدیدهایی روبهرو هستیم که در سالیان آینده به بار مینشیند و ممکن است به حملات نابودگری از جمله در زمینه باجافزار در آینده نزدیک و دور منتهی شود. به گفته تحلیلگران، هکرهایی که از پشتوانه دولتی برخوردارند معمولاً بهترین منابع و تواناییها را در اختیار دارند.
جان هالتکوئیست، نماینده ارشد تحلیل هوشمند در شرکت امنیت سایبری ماندیانت (Mandiant) در آمریکا، میگوید: «تاثیرات این آسیبپذیری احتمالاً در ماهها و حتی سالهای آینده طنینانداز میشود و ما از همین حالا در تلاشیم این درها را ببندیم و تمام فعالانی را که ورود پیدا کردهاند شکار کنیم.»
مایکروسافت و ماندیانت هر دو مدعی فعالیت گروههای هکری وابسته به چین و ایران شدهاند که در صدد استفاده از نقص نرمافزاری Log4j هستند. مایکروسافت که سهشنبه هفته پیش وبسایت خود را بهروزرسانی کرد میگوید هکرهای کرهشمالی و ترکیه هم از این نقص در یکی از نرمافزارهای مهم اینترنت استفاده کردهاند. البته به گفته مایکروسافت به نظر میرسد برخی هکرها در حال آزمایش هستند و بخش دیگری هم از این راه نفوذ برای دسترسی به اهداف مد نظر خود استفاده میکنند.
یکی از گروههایی که از این حفره امنیتی در Log4j استفاده میکنند در واقع همان گروه هکرهای چینی هستند که پیشتر در سال جاری حملات گستردهای به سرورهای مایکروسافت ترتیب دادند. دولت بایدن حمله به صرافی مایکروسافت را در ماه جولای به گردن چین انداخت و اعلام کرد هکرها معتقدند این گروه با وزارت امنیت ملی در ارتباط است. دهها کشور دیگر نیز پکن را به دلیل مداخله در هک و حملات سایبری متهم کردهاند.
سخنگوی سفارت چین در واشینگتن گفت پکن با «هرگونه حمله سایبری» مخالف است و اعلام کرد نقص امنیتی Log4j اولین بار از سوی یک تیم امنیتی در چین به اطلاع عموم رسید.
محققان امنیتی تا امروز هیچ نشانهای دال بر تلاش گروه هکری چینی به استفاده گسترده از نقص Log4j در مقیاسی که پیشتر به مایکروسافت اکسچنج حمله شد مشاهده نکردهاند. این حمله صدها هزار سرور را در سراسر جهان آلوده کرد.
مقامات آمریکایی پیشتر اعلام کردهاند تلاش دولتها برای استفاده از این رخنه امنیتی اجتنابناپذیر است اما هنوز گروههای هکری مشخصی را که از این رخنه استفاده کنند مشخص نکردهاند. دولت آمریکا معمولاً خیلی دیرتر از شرکتهایی مثل ماندیانت و مایکروسافت گروههای وابسته به دولتها را به حملات سایبری متهم میکند.
بسیاری از دیگر هکرها سعی دارند به سیستمهایی که به این نقص مبتلا هستند نفوذ و نرمافزاری را برای استخراج رمزارز در آنها نصب کنند یا باتنت و دیگر بدافزارها را وارد این سرورها کنند.
گروههای بدافزاری در حال استفاده از این نقص برای نفوذ به سرورها هستند و به گفته محققان نگرانی و ترس در این باره رفتهرفته بیشتر میشود. به گفته مایکروسافت، گروه هکریای با پشتیبانی دولت ایران «با استفاده از بدافزار اصلاحاتی انجام داده و از Log4j استفاده میکند». به گفته این شرکت کسانی با حمله و نفوذ از طریق این منفذ در حال «کارگزاری دسترسی» هستند. به این طریق هکرها وارد شرکت میشوند و سپس دسترسی را به دیگر مجرمان میفروشند و آنها بدافزاری را روی سرور شرکت نصب میکنند. این کد فایلهای قربانی را قفل کرده و هکرها از آنها درخواست پرداخت هزینه و باج میکنند.
شرکت امنیت سایبری چکپوینت سافتور تکنولوژی (Check Point Software Technologies) اعلام کرد نزدیک به ۶۰۰ هزار تلاش برای استفاده از باگ Log4j از سوی تبهکاران سایبری انجام گرفته است. به گفته این شرکت، حدود ۴۴ درصد از شبکه شرکتهای سراسر جهان تحت تاثیر این تلاشها قرار گرفتهاند.
اریک گولدستین، معاون اجرایی آژانس امنیت سایبری و امنیت زیرساخت در وزارت امنیت داخلی (CISA)، میگوید: «ما شاهد طیف وسیعی از تهدیدها بودیم. عمدتاً این تلاشها فعالیتی سطح پایین از سوی استخراجکنندگان کریپتو بود اما انتظار داریم که تمام دشمنان از این نقص برای رسیدن به اهداف استراتژیک خود بهره برند.»
طبق گفتههای گلدستین، تا به امروز CISA هنوز اطلاعی از نفوذ هکرها به هیچ کدام از آژانسهای فدرال و استفاده از نقص Log4j ندارد. این آژانس ضربالاجل ۲۴ دسامبر را برای پچ نرمافزار و رفع تهدید Log4j در آژانسهای فدرال مشخص کرده است.
محققان دریافتند که نقص Log4j از آنجا تا این حد نگرانکننده است که این نرمافزار جاوامحور و رایگان در محصولات متعددی استفاده میشود. این نرمافزار در هر چیزی از نرمافزارهای امنیتی گرفته تا ابزارهای بازاریابی و حتی سرورهای بازی ویدئویی وجود دارد. تعداد دقیق کاربران Log4j را نمیتوان مشخص کرد اما به گفته سازمان سازنده آن، بنیاد نرمافزار آپاچی، میلیونها بار دانلود شده است.
حملاتی که با استفاده از این نقص صورت میگیرد موفقیتآمیز است و به گفته محققان بدیهی است بسیاری به دنبال استفاده از آن باشند. البته پچهایی برای دانلود و رفع این نقطهضعف ارائه شده است که به گفته محققان و مقامات آمریکایی انتظار میرود به دلیل سرعت پایین بهروزرسانی یا سهلانگاری بسیاری از فعالان این حوزه تا چندی دیگر این نقص ماندگار باشد.
آدام میرز، نماینده ارشد اطلاعات در شرکت کرود استرایک (CrowndStrike)، که استفاده فعالان ایرانی از این نقص را گزارش کرده است، میگوید: «تعجببرانگیز است که چرا شاهد استفاده گستردهتری نیستیم. سوالی که همه میپرسند این است که ما چه چیزی را نمیبینیم؟»