Così Log4Shell ha prodotto 800 mila attacchi hacker in 3 giorni

AGI – Qualche migliaio di tentati attacchi hacker il 10 dicembre. Diventati 40.000 il giorno dopo. 200.000 il 12 dicembre. Più di 800.000 fino a ieri.

A fornire una fotografia di quello che sta succedendo alla rete Internet in questi giorni è Check Point, azienda di cybersecurity israeliana, che sta monitorando i tentativi di intrusione malevola dopo la scoperta il 9 dicembre di Log4Shell, una grave vulnerabilità nascosta tra le pieghe del linguaggio di programmazione Java, il più usato al mondo, e che in particolare riguarda la sua libreria più popolare, Apache Log4j.

A rischio per Check Point oggi non sono più solo le aziende, il 40% delle quali è già stata oggetto in questi giorni di tentativi di attacco, ma anche istituzioni finanziarie, organizzazioni, Stati. 

Lotem Finkelstein, direttore Threat Intelligence and Research dell’azienda, non usa mezzi termini:  “Non possiamo che confermare la gravità di questa minaccia. All’apparenza, essa è rivolta ai criptominer, ma crediamo che questo costituisca l’avvisaglia di un attacco hacker nei confronti di una serie di bersagli di grande valore come le banche, la sicurezza di Stato e le infrastrutture critiche”.

La situazione è grave. E in continua mutazione, in peggio: “Stiamo assistendo a un’evoluzione continua, con nuove variazioni dell’exploit originale che vengono introdotte rapidamente: oltre 60 in meno di 24 ore. Il numero di combinazioni possibili fornisce all’hacker molte alternative per aggirare le protezioni appena introdotte”. 

In certi momenti la Check Point Research ha registrato oltre 100 hack al minuto. Per quanto riguarda Italia, i tentativi di violazione si aggirano intorno al 43% delle reti aziendali – dato in linea con la percentuale europea (42%), ma poco al di sopra della media globale (40%). Al momento sono 90 i Paesi in cui gli hacker sono all’opera. 

Un passo indietro per capire cosa è successo. Il 9 dicembre è stata segnalata una vulnerabilità in Apache Log4j, la più popolare libreria Java incorporata in quasi ogni servizio o applicazione Internet che conosciamo, tra cui Twitter, Amazon, Microsoft, Minecraft, Tesla, e altri. Sfruttare questa vulnerabilità sembra piuttosto semplice per un esperto e permette agli hacker di controllare i server web basati su Java e lanciare da remoto attacchi di esecuzione di codice malevolo.

Al momento la maggior parte degli attacchi si concentra sull’uso di un criptomining a spese delle vittime – tuttavia, gli aggressori più avanzati possono agire aggressivamente contro obiettivi di alto livello.

Lo avevano confermato ad AGI anche diversi esperti di sicurezza informatica, che già domenica mettevano in guardia dalla possibilità che senza rimedi rapidi l’intera infrastruttura Internet era in pericolo. Più il tempo passa, più migliaia di hacker in tutto il mondo attivano le loro botnet per cercare di individuare e colpire questa vulnerabilità. Una corsa contro il tempo dove sono tutti chiamati ad agire: aziende, stati, istituzioni, esperti di sicurezza.

Eppure secondo le società di cybersecurity, questa vulnerabilità, a causa della complessità della patch (la soluzione informatica al problema) e della facilità di sfruttamento, sembra poter rimanere per un lungo periodo, a meno che le organizzazioni non prendano misure immediate per prevenire gli attacchi.

“Questa è chiaramente una delle vulnerabilità più gravi su Internet negli ultimi anni, e si sta diffondendo a vista d’occhio”, continua Finkelstein. “Ad un certo punto, abbiamo visto più di 100 attacchi al minuto relativi alla vulnerabilità LogJ4. Stiamo assistendo a un’evoluzione continua, con nuove variazioni dell’exploit originale che vengono introdotte rapidamente: oltre 60 in meno di 24 ore. Il numero di combinazioni possibili fornisce all’hacker molte alternative per aggirare le protezioni appena introdotte”. 

“A differenza di altri grandi attacchi informatici che coinvolgono uno o un numero limitato di software, Log4j è fondamentalmente incorporato in ogni prodotto o servizio web basato su Java. È molto difficile rimediare manualmente”, prosegue il manager. “Quelli che non vogliono implementare una protezione sono probabilmente già controllati dagli hacker. Abbiamo già documentato più di 846.000 attacchi, dove più del 40% delle reti aziendali a livello globale sono state prese di mira”. 

“Questa vulnerabilità, a causa della complessità della patch e della facilità di sfruttamento, rimarrà con noi per gli anni a venire, a meno che non agiamo immediatamente per prevenire gli attacchi. Ora è il momento di agire”, continua Finkelstein, che conclude: “La minaccia è imminente, e considerando il periodo natalizio, i team di sicurezza potrebbero essere più lenti a implementare le misure di protezione. È come una pandemia informatica: altamente contagiosa, si diffonde rapidamente e ha più varianti, e quindi più modi per attaccare”.