Iraanse criminelen komen met Log4Shell-fout binnen in overheidsnetwerk VS

De Amerikaanse cybersecurity-organisatie CISA detecteerde in april dit jaar verdachte activiteit op het netwerk van een zogeheten 'federal civilian executive branch' (FCEB), de tak van de overheid waar onder meer de Federal Trade Commission, het ministerie van Financiën en het ministerie van Homeland Security onder vallen. Welke organisatie precies getroffen is bij de aanval, zegt CISA niet in zijn online gepubliceerde alert.

Uit nader onderzoek blijkt dat volgens CISA dat het om Iraanse aanvallers gaat, die door de Iraanse overheid gesteund zouden worden. De cybercriminelen wisten in februari binnen te komen in het netwerk, door misbruik te maken van het Log4-Shell-gat dat nog in een niet-gepatchte VMware Horizon-server zat.

De aanvallers installeerden vervolgens software om cryptovaluta te mijnen en wisten vervolgens het netwerk in te komen met toegang op administrator- en systeemniveau. De cybercriminelen stalen ook inloggegevens, veranderden het wachtwoord voor het lokale administrator-account op diverse hosts en installeerden een tool genaamd Ngrok, waarmee ze firewalls konden omzeilen en toegang tot het netwerk wisten te behouden. 

Advies: neem maatregelen om gevolgen te beperken

Log4Shell is de benaming die het kritieke beveiligingsgat in de veelgebruikte loggingtool Log4J kreeg. Via het gat kunnen kwaadwillenden eigen code uitvoeren op het systeem waar die Java-software draait. Het gat werd eind vorig jaar ontdekt, waarna ook exploit-code verscheen. In december volgde de eerste in een langere reeks van patches en CISA droeg overheidsorganisaties op om het gat uiterlijk op 23 december 2021 te dichten, weet The Register. Maar dat gebeurde dus niet overal.

Afgelopen februari kwam al naar buiten dat Iraanse aanvallers Log4Shell gebruikten om servers met VMware Horizon te grazen te nemen. Via de kwetsbaarheid kunnen zij binnenkomen op de virtualisatiesoftware voor apps en desktopomgevingen, die vervolgens te gijzelen is. 

Wie de patches nu nog niet geïnstalleerd heeft, kan er volgens CISA en de FBI vanuit gaan dat hun systeem gecompromitteerd is. De beide organisaties adviseren in de alert dan ook met klem om te gaan zoeken naar verdacht gedrag. Daarnaast delen de beide organisaties aanbevelingen om risico's te beperken. Het advies aan alle organisaties die de patches niet geïnstalleerd hebben - ook die buiten de overheid en buiten de VS - is om deze aanbevelingen over te nemen, ook al is er geen verdachte activiteit waargenomen.