Il reale impatto della vulnerabilità non è ancora stato realizzato dagli esperti. Ma Microsoft, Mandiant e CrowdStrike hanno analizzato chi ne sta approfittando
Log4Shell è “il paradiso degli hacker”, ha detto a Formiche.net l’esperto Corrado Giustozzi. In Italia rappresenta il primo banco di prova per l’Agenzia per la cybersicurezza nazionale guidata da Roberto Baldoni che ha avuto, in quel di Bari, un incontro di lavoro sul tema con il suo omologo israeliano Yigal Unna.
Ma quali Paesi stanno sfruttando la vulnerabilità? Cina, Corea del Nord, Iran e Turchia, ha risposto il Microsoft Threat Intelligence Center con un rapporto sulla prevenzione, il rilevamento e il contrasto di Log4Shell.
Phosphorus, gruppo iraniano noto come Charming Kitten e APT35 che in passato ha messo nel mirino anche la campagna per la rielezione dell’ex presidente statunitense Donald Trump, “ha lanciato ransomware utilizzando la vulnerabilità”, spiega Microsoft. Hafnium, collettivo cinese che ha già sfruttato le falle in Exchange Server di Microsoft, ha utilizzato Log4Shell per “attaccare le infrastrutture di virtualizzazione”.
Eric Goldstein, executive assistant director della Cybersecurity and infrastructure security agency degli Stati Uniti, ha spiegato in conferenza stampa che l’agenzia sta lavorando sulla vulnerabilità ma gli attacchi non sono stati ufficialmente attribuiti a Paesi in particolare. “Ci aspettiamo che avversari di tutti i tipi utilizzino questa vulnerabilità per raggiungere i loro obiettivi strategici”, si è limitato a dire.
Ma Microsoft non è stata l’unica organizzazione ad aver analizzato le attività degli Stati su Log4Shell. La società di sicurezza informatica Mandiant ha denunciato attività da parte di gruppi cinesi, mentre CrowdStrike ha osservato quelle iraniane.
Il timore è, però, che ancora non siano chiari gli impatti della vulnerabilità. “È una sorpresa che non sia più diffusa”, ha detto Adam Meyers, vice presidente di CrowdStrike. “La domanda che tutti si pongono è: ‘Cosa non stiamo vedendo?’”.
