Sicherheitslücke Log4shell – Hunderttausende Hackerangriffe in nur 72 Stunden

Es ist eine der weitreichendsten Sicherheitslücken in der Geschichte des Internets, und nach und nach versuchen immer mehr Hacker, sie auszunutzen. Auch staatliche Angreifer probieren, Kapital aus dem Problem namens Log4shell zu schlagen, das am Wochenende IT-Fachleute auf der ganzen Welt aufschreckte. Das berichten IT-Sicherheitsunternehmen.

Das Problem liegt im Hilfsprogramm Log4j, Teil der weit verbreiteten Java-Technologie. Es soll eigentlich nur protokollieren, was auf einem Computerserver passiert. Über die Schwachstelle können aber am Netz hängende Computer, etwa von Online-Spielen oder Cloud-Anbietern, von Hackern übernommen werden. Produkte von Amazon, Cisco oder IBM sind in jedem Fall betroffen. Die anfällige Technik ist so weit verbreitet, dass sich Fachleute immer noch schwer tun, zu ermessen, welche und wie viele Dienste betroffen sind (mehr zur Lücke hier).

Das IT-Sicherheitsunternehmen Checkpoint hat die Angriffsversuche gezählt: Am Samstag, zwölf Stunden nach Bekanntwerden der Lücke seien es 40’000 gewesen, nach 72 Stunden schon mehr als 800’000. Wegen des extrem schnellen Wachstums spricht Checkpoint von einer «Cyber-Pandemie».

Das staatlicher Hacker versuchen, Log4shell auszunutzen, meldet unter anderem das Sicherheitsteam von Microsoft, das Hackergruppen überwacht und analysiert. Staatliche Gruppen aus China, Iran, Nordkorea und der Türkei würden Log4shell ausnutzen. Sie versuchten, die Angriffstechnik für die Lücke, die seit vergangener Woche bekannt ist, für ihre Zwecke anzupassen und mit bereits existierender Schadsoftware zusammenzuführen. Unbefugte könnten so Computer aus der Ferne komplett übernehmen.

Angreifer tasten sich quasi durchs Internet

Die iranische Gruppe, von Microsoft Phosphorus getauft, nutze die Schwachstelle, um unbefugt Ransomware auf Zielgeräten zu installieren. Solche Software verschlüsselt Daten auf den Systemen der Opfer und macht diese Systeme unbrauchbar. Sie wird oft eingesetzt, um Lösegeld von derart «gefesselten» Unternehmen und Organisationen zu erpressen.

Die Gruppe nutzt Ransomware nach Einschätzung der Analysten, um an Geld zu kommen oder einfach, um Ziele lahmzulegen. Auch die chinesische Gruppe namens Hafnium greife über Log4shell Software-Infrastruktur an. Andere Gruppen hätten sich über die Lücke in Systemen eingenistet und verkauften nun den Zugang zu diesen an Ransomware-Hacker.

Hacker versuchen, die Rechenkraft der Computer ihrer Opfer zu nutzen, um heimlich für sich Kryptowährungen zu erzeugen.

Den grössten Teil der Log4Shell-Aktivität machen Microsoft zufolge allerdings sogenannte Massenscans aus: Angreifer tasten sich quasi durchs Internet, auf der Suche nach verwundbaren Geräten. Auch Botnetze – von Kriminellen zusammengeschaltete Armeen gekaperter Computer – nutzen diese Technik. Ein Teil der gemessenen Scans dürfte jedoch auf IT-Sicherheitsexperten zurückgehen, die Geräte eher schützen wollen, als sie zu übernehmen.

Wie schon am Wochenende installierten Hacker sogenannte Coin Miner auf den Computern ihrer Opfer. Damit wollen die Angreifer deren Rechenkraft nutzen, um heimlich für sich Kryptowährungen zu erzeugen. Windows- und Linux-Systeme seien gleichermassen betroffen.

Die Apache-Software-Stiftung, die sich um Log4j kümmert, hat eine Sicherheits-Aktualisierung zur Verfügung gestellt, die die Lücke schliessen soll. Die US-Cybersicherheitsbehörde setzte unterdessen eine Frist. Sie forderte Bundesbehörden auf, die Aktualisierung bis Weihnachten herunterzuladen. Allerdings schützte das ursprünglich von der Stiftung bereitgestellte Update Systeme nicht vollständig. Version 2.15.0 von Log4j hatte eine Lücke offengelassen, über die Angreifer die Software hätten lahmlegen können. Die neue Aktualisierung 2.16.0 schliesst diese Lücke. Wer Server im Netz betreibt, sollte sie hier herunterladen.

Fehler gefunden?Jetzt melden.