Ukraines computerberedskabsteam CERT-UA har advaret om et igangværende distribuerede netværksangreb (DDoS-angreb).
BleepingComputer rapporterer, at ukendte trusselsaktører udfører angrebet ved hjælp af WordPress-websteder (opens in new tab), der er inficeret med skadelige JavaScript-koder.
Scripts indføres i HTML-strukturen af webstedets hovedfiler og er krypteret med base64 for at holde dem skjulte. Når nogen besøger webstedet, bliver deres ekstra computerkraft dermed brugt til at udføre et stort antal anmodninger mod URL-målene.
Politiske konnotationer
De besøgende på webstedet bliver praktisk talt de robotter, der udfører DDos-angrebet ved at oversvømme de ukrainske websteder med for meget trafik til, at serverne kan håndtere det.
Det værste ved det hele er, at udover et meget diskret problem med ydeevnen for den besøgende, er angrebet stort set umuligt at få øje på.
Nogle af de målrettede websteder inkluderer:
- kmu.gov.ua
- callrussia.org
- gngforum.ge
- secjuice.com
- liqpay.ua
- gfis.org.ge
- playforukraine.org
- war.ukraine.ua
- micro.com.ua
- fightforua.org
- edmo.eu
- ntnu.no
- megmar.pl
Disse websteder har efter sigende "en stærk holdning til fordel for Ukraine" i den igangværende krig med Rusland, og det er grunden til, at de blev målrettet.
Udover at advare om angrebet har CERT-UA også instrueret kompromitterede websteder om, hvordan de opdager og fjerner den skadelige JavaScript-kode fra deres websted.
"For at detektere lignende unormale aktivitet i logfilerne på webserveren, skal du være opmærksom på hændelserne med svarkoden 404. Hvis de er unormale, skal du korrelere dem med værdierne af HTTP-headeren 'Referer', som vil indeholde adressen på den webressource, der initierede en anmodning," sagde CERT-UA.
På det tidspunkt, hvor advarslen blev offentliggjort, var der 36 websteder, som indeholdte den skadelige kode.