Über Log4j: US-Behörde vom Iran attackiert, Cryptominer installiert

Die CISA hat einen Angriff auf eine ungenannte US-Regierungsinstitution registriert, bei dem die Log4j-Lücke ausgenutzt wurde. Die bleibt ein Problem.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 12 Beiträge

(Bild: JLStock/Shutterstock.com)

In Diensten des Iran stehende Akteure haben im Februar die damals schon seit zwei Monaten bekannte Log4-Sicherheitslücke ausgenutzt, um in das Netz einer US-Regierungsinstitution einzudringen, dort einen Cryptominer zu installieren und Zugangsdaten abzugreifen. Außerdem hätten sie versucht, sich dauerhaft in den Systemen festzusetzen. Das hat die US-Cybersicherheitsbehörde CISA gemeinsam mit der US-Bundespolizei FBI im Rahmen einer monatelangen Analyse ermittelt. Die Ergebnisse wurden nun publik gemacht. Um welche US-Regierungseinrichtung es sich handelt, wurde dabei aber genauso wenig ausgeführt wie die genaue Identität der ermittelten Angreifer.

Wie die Cybersecurity and Infrastructure Security Agency jetzt erläutert, wurde der Einbruch dort im April über verdächtigen Netzwerkverkehr entdeckt. Gefunden habe man Attacken auf VMware Horizon, bei denen die ungepatchte Lücke ausgenutzt wurde. Bei der weitergehenden Untersuchung habe man herausgefunden, dass der Angriff schon im Februar stattgefunden hat. Die Angreifer hätten dafür gesorgt, dass bestimmte Downloads nicht mehr automatisch auf Viren untersucht würden. Auf VMware-Horizon-Instanzen hätten sie dann einen Cryptominer installiert, um Kryptogeld zu schürfen. Zudem hätten sie Zugangsdaten abgegriffen und Administratorzugänge geändert. Der ausführliche Bericht ist online einsehbar.

Die kritische Zero-Day-Sicherheitslücke Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4 war im Dezember 2021 bekannt geworden. Darüber lässt sich beliebiger Code auf einem Zielsystem ausführen. Gleich zu Beginn waren erste Angriffe festgestellt worden, es gab und gibt dringende Appelle, Updates einzuspielen. Vor den Angriffen auf VMware Horizon hat die CISA erst im Frühsommer gewarnt. Wie der jetzt publik gemachte Angriff der Islamischen Republik zugeschrieben wurde, schreiben die Experten und Expertinnen nicht. Ihr Bericht bestätigt aber einmal mehr, dass die Lücke weiterhin gefährlich bleibt.

(mho)