Den nasjonale organisasjonen CERT-UA (Computer Emergency Response Team for Ukraine) advarer nå om et pågående DDoS-angrep mot det krigsherjede landet.
Ifølge BleepingComputer utfører nå ukjente trusselaktører et raid ved hjelp av WordPress-sider infiserte av ondsinnet JavaScript-kode.
Scriptene injiseres inn i HTML-strukturen i sidenes hovedfiler og krypteres ved hjelp av base64-kryptering for å holdes skjult. Når noen besøker siden blir eventuell overflødig prosessortid brukt til å lage store mengder forespørsler rettet mot enkelte URL-er.
Politiske koplinger
I praksis er besøkende hos nettsidene botene som overfyller ukrainske nettsider med mer trafikk enn serverne klarer å håndtere, og som dermed fører til såkalt tjenestenekt (denial of service.)
Et av de mest problematiske aspektene ved metoden er at de færreste besøkende merker noen problemer med ytelsen. Angrepene er nesten umulige å oppdage.
Noen av nettsidene som angripes er de følgende:
- kmu.gov.ua
- callrussia.org
- gngforum.ge
- secjuice.com
- liqpay.ua
- gfis.org.ge
- playforukraine.org
- war.ukraine.ua
- micro.com.ua
- fightforua.org
- edmo.eu
- ntnu.no
- megmar.pl
Etter sigende skal disse nettsidene ha «[...] tatt et tydelig standpunkt i favør Ukraina» i forbindelse med den pågående krigen med Russland, og resultatet er at de blir yndede mål for trusselaktører.
I tillegg til å komme med advarselen har CERT-UA delt instruksjoner om hvordan man kan oppdage og fjerne den ondsinnede JavaScript-koden, til de kompromitterte nettsidene.
«For å få øye på abnormal aktivitet som i det ovennevnte i loggfiler på webserveren bør man være oppmerksom på hendelser med responskoden 404, og om de ser abnorme ut, korrelere de med verdiene i HTTP-headeren 'referer', som vil inneholde adressen til web-resursen som startet en forespørsel», sier CERT-UA.
I skrivende stund eksisterer det 36 bekreftede tilfeller av nettsider med den ondsinnede koden.
Kilde: BleepingComputer
