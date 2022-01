Nonostante la vulnerabilità Log4Shell sia stata risolta da Apache, l'azienda che ha creato il tool di logging Log4j, i problemi con i server e le reti di server che non hanno ancora aggiornato Log4j all'ultima versione sembrano essere diffusi in tutto il mondo. A quanto pare, tra i servizi più colpiti vi sarebbero ora quelli delle università.

Infatti, l'azienda di cybersecurity CrowdStrike ha scoperto il malware Aquatic Panda, di origine cinese, che ha lo scopo di utilizzare le vulnerabilità critiche di Log4j per intrufolarsi nei server delle università e delle istituzioni accademiche e di ricerca di tutto il modo, operando azioni come la raccolta delle credenziali e dei dati dei sistemi "target" del malware.

CrowdStrike ha confermato di aver identificato e fermato Aquatic Panda in azione, dicendo anche che l'attacco era mirato ad una "importante istituzione accademica". A peggiorare le cose vi è il fatto che il gruppo alla base di Aquatic Panda ha dei legami con il Governo di Pechino, tanto che gli analisti di CrowdStrike si sono riferiti ad esso come ad un "gruppo sponsorizzato dallo Stato cinese": gli hacker che compongono il collettivo alla base di Aquatic Panda sono stati rintracciati per la prima volta nel 2020, e sono specializzati in spionaggio accademico e industriale, concentrandosi in maniera prevalente contro aziende nel campo delle telecomunicazioni e della tecnologia, nonché contro le istituzioni governative.

Il gruppo ha utilizzato la falla nota come Log4Shell CVE-2021-4428, una vulnerabilità di Log4j con gravità di 10 su 10. Al momento la falla è già stata risolta, ma non tutti i dispositivi affetti dalla vulnerabilità sono stati aggiornati all'ultima versione di Log4j, perciò rimangono ancora soggetti agli attacchi degli hacker. Secondo CrowdStrike, "Molto probabilmente, durante l'attacco è stata utilizzata una versione modificata dell'exploit Log4j": fortunatamente, però, l'agenzia afferma che "siamo riusciti ad implementare un protocollo di risposta, che ci ha poi permesso di patchare l'applicazione vulnerabile e di prevenire ogni ulteriore attività criminale sull'host".