Es ist eine der weitreichendsten Sicherheitslücken in der Geschichte des Internets, und nach und nach versuchen immer mehr Hacker, sie auszunutzen. Auch staatliche Angreifer versuchen, Kapital aus dem Problem namens Log4shell zu schlagen, das am Wochenende IT-Fachleute auf der ganzen Welt aufschreckte. Das berichten IT-Sicherheitsunternehmen.
Das Problem liegt im Hilfsprogramm Log4j, Teil der weit verbreiteten Java-Technologie. Es soll eigentlich nur protokollieren, was auf einem Computerserver passiert. Über die Schwachstelle können aber am Netz hängende Computer, etwa von Online-Spielen oder Cloud-Anbietern, von Hackern übernommen werden. Produkte von Amazon, Cisco oder IBM sind in jedem Fall betroffen. Die anfällige Technik ist so weit verbreitet, dass sich Fachleute immer noch schwer tun, zu ermessen, welche und wie viele Dienste betroffen sind ( mehr zur Lücke hier).
Das IT-Sicherheitsunternehmen Checkpoint hat die Angriffsversuche gezählt: Am Samstag, zwölf Stunden nach Bekanntwerden der Lücke seien es 40 000 gewesen, nach 72 Stunden schon mehr als 800 000. Wegen des extrem schnellen Wachstums spricht Checkpoint von einer "Cyber-Pandemie".
Das staatlicher Hacker versuchen, Log4shell auszunutzen, meldet unter anderem das Sicherheitsteam von Microsoft, das Hackergruppen überwacht und analysiert. Staatliche Gruppen aus China, Iran, Nordkorea und der Türkei würden Log4shell ausnutzen. Sie versuchten, die Angriffstechnik für die Lücke, die seit vergangener Woche bekannt ist, für ihre Zwecke anzupassen und mit bereits existierender Schadsoftware zusammenzuführen. Unbefugte könnten so Computer aus der Ferne komplett übernehmen.
Angreifer tasten sich quasi durchs Internet
Die iranische Gruppe, von Microsoft Phosphorus getauft, nutze die Schwachstelle, um unbefugt Ransomware auf Zielgeräten zu installieren. Solche Software verschlüsselt Daten auf den Systemen der Opfer und macht diese Systeme unbrauchbar. Sie wird oft eingesetzt, um Lösegeld von derart "gefesselten" Unternehmen und Organisationen zu erpressen. Die Gruppe nutzt Ransomware nach Einschätzung der Analysten, um an Geld zu kommen oder einfach, um Ziele lahmzulegen. Auch die chinesische Gruppe namens Hafnium greife über Log4shell Software-Infrastruktur an. Andere Gruppen hätten sich über die Lücke in Systemen eingenistet und verkauften nun den Zugang zu diesen an Ransomware-Hacker. Auch das IT-Sicherheitsunternehmen Mandiant berichtet, es habe iranische und chinesische Staatshacker beobachtet, die Log4shell ausnutzen.
Den größten Teil der Log4Shell-Aktivität machen Microsoft zufolge allerdings so genannte Massenscans aus: Angreifer tasten sich quasi durchs Internet, auf der Suche nach verwundbaren Geräten. Auch Botnetze - von Kriminellen zusammengeschaltete Armeen gekaperter Computer - nutzen diese Technik. Ein Teil der gemessenen Scans dürfte jedoch auf IT-Sicherheitsexperten zurückgehen, die Geräte eher schützen wollen, als sie zu übernehmen. Wie schon am Wochenende installierten Hacker so genannte Coin Miner auf den Computern ihrer Opfer. Damit wollen die Angreifer deren Rechenkraft nutzen, um heimlich für sich Kryptowährungen zu erzeugen. Windows- und Linux-Systeme seien gleichermaßen betroffen.
Die Apache-Software-Stiftung, die sich um Log4j kümmert, hat eine Sicherheits-Aktualisierung zur Verfügung gestellt, die die Lücke schließen soll. Die US-Cybersicherheitsbehörde setzte unterdessen eine Frist. Sie forderte Bundesbehörden auf, die Aktualisierung bis Weihnachten herunterzuladen. Allerdings schützte das ursprünglich von der Stiftung bereitgestellte Update Systeme nicht vollständig. Version 2.15.0 von Log4j hatte eine Lücke offengelassen, über die Angreifer die Software hätten lahmlegen können. Die neue Aktualisierung 2.16.0 schließt diese Lücke. Wer Server im Netz betreibt, sollte sie hier herunterladen.