Java-Schwachstelle

Log4j - die Angreifer bereiten sich vor

Laut Bitdefender bereiten Cyberkriminelle derzeit ihre Angriffe auf Basis der Log4Shell-Schwachstelle vor. Dabei nutzen die Hacker ein Netzwerk aus virtuellen Tunneln.
Von 
CSO | 21. Dezember 2021 12:04 Uhr
Cyberkriminelle bereiten sich jetzt vor, um gezielte Angriffe auf die Java-Schwachstelle Log4j zu starten.
Cyberkriminelle bereiten sich jetzt vor, um gezielte Angriffe auf die Java-Schwachstelle Log4j zu starten.
Foto: Viacheslav Lopatin - shutterstock.com

Aktuell versuchen zahlreiche Angreifer die Sicherheitslücke in der Java-Bibliothek Log4j auszunutzen. Laut Telemetriedaten des Security-Anbieters Bitdefender stammen derzeit 34 Prozent der Angriffsversuche aus Deutschland, dicht gefolgt von den USA mit 26 Prozent. Ursprünglich vermuteten die Security-Experten, dass die hohe Rate der aus Deutschland und den westlichen Industrienationen lancierten Angriffe auf Infrastructure-as-a-Service-Rechenzentren zurückgehen.

Die Top 10 der Länder, in denen Log4j-Angriffe ihren Ursprung haben.
Die Top 10 der Länder, in denen Log4j-Angriffe ihren Ursprung haben.
Foto: Bitdefender

Lesetipps: Log4j – Experten sagen, was jetzt zu tun ist

Log4Shell – "Größte Schwachstelle in der Geschichte"

Angreifer verschleiern Herkunft der Log4Shell-Attacken

Doch im Rahmen ihrer Untersuchung stellten die Forscher dann fest, dass nur ein geringer Prozentsatz der Attacken eine Quelladresse hat, die auf Cloud-Provider wie AWS, Azure oder die Google Cloud Platform (GCP) schließen lässt. Mehr als 50 Prozent der Quell-IPs konnten jedoch Exit-Nodes des Tor-Netzes (Onion Router) zugeordnet werden. Das heißt: Die Hacker nutzen ein Netzwerk aus virtuellen Tunneln, um ihre Identität und Herkunft zu verschleiern. "Mit anderen Worten, Bedrohungsakteure, die Log4j ausnutzen, leiten ihre Angriffe über Maschinen weiter, die näher an ihren beabsichtigten Zielen sind", erläutern die Analysten.

Zudem wurden die sogenannten Honeypot-Attacken ausgewertet. Dazu ahmte Bitdefender in einem Honeypot-Netzwerk wahrscheinliche Ziele nach, um so Daten zu sammeln. Dort zeigte sich ein anderes Bild: Mit 21 Prozent stehen hier die USA an erster Stelle der Herkunftsorte. Dahinter liegen Indien (20 Prozent) sowie Deutschland und Hongkong mit jeweils zwölf Prozent.

Die Ursprungsländer der Log4Shell-Angriffe auf Honeypots.
Die Ursprungsländer der Log4Shell-Angriffe auf Honeypots.
Foto: Bitdefender

Log4Shell-Angriffe zielen häufig auf USA ab

Fast jedes zweite angegriffene Netzwerk befindet sich der Analyse zufolge in den USA (48 Prozent), gefolgt von Kanada und Großbritannien (jeweils 8 Prozent) und Rumänien (7 Prozent). Deutschland liegt hier auf Platz fünf (sechs Prozent). Nach den Prognosen des Security-Anbieters wird es noch Monate dauern, das Ausmaß der Bedrohung zu verstehen und die Schwachstellen zu schließen. Dies würde den Hackern einen zeitlichen Vorsprung verschaffen. Bislang haben die Bitdefender Labs noch keine Aktivitäten bekannter Ransomware-as-a-Service-Banden oder APT-Hintermänner entdeckt. Viele Cyberkriminelle versuchten aber schon , sich in die Netzwerke einzuschmuggeln, berichtet der Sicherheitsdienstleister.

Mit 48 Prozent zählen die USA zu den häufigsten Zielen von Log4Shell-Attacken.
Mit 48 Prozent zählen die USA zu den häufigsten Zielen von Log4Shell-Attacken.
Foto: Bitdefender

"Professionelle Angreifer werden diese Lücke als erstes Vehikel für ihre langfristigen Attacken auf hochrelevante Ziele nutzen", schreibt das Unternehmen. "Danach werden sie die Schachstelle heimlich schließen, um andere Angreifer auszuschließenund ihr Eindringen vor dem Abwehr-Scan zu verbergen. Die Attacken werden kommen, wenn sich der Sturm gelegt hat." Die Experten vermuten, dass die Angreifer nicht vor Weihnachten oder dem Jahreswechsel mit ihren großangelegten Attacken beginnen werden.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.