Den nasjonale organisasjonen CERT-UA (Computer Emergency Response Team for Ukraine) advarer nå om et pågående DDoS-angrep mot det krigsherjede landet.
Ifølge BleepingComputer utfører nå ukjente trusselaktører et raid ved hjelp av WordPress-sider infiserte av ondsinnet JavaScript-kode.
Scriptene injiseres inn i HTML-strukturen i sidenes hovedfiler og krypteres ved hjelp av base64-kryptering for å holdes skjult. Når noen besøker siden blir eventuell overflødig prosessortid brukt til å lage store mengder forespørsler rettet mot enkelte URL-er.
Politiske koplinger
- kmu.gov.ua
- callrussia.org
- gngforum.ge
- secjuice.com
- liqpay.ua
- gfis.org.ge
- playforukraine.org
- war.ukraine.ua
- micro.com.ua
- fightforua.org
- edmo.eu
- ntnu.no
- megmar.pl
Etter sigende skal disse nettsidene ha «[...] tatt et tydelig standpunkt i favør Ukraina» i forbindelse med den pågående krigen med Russland, og resultatet er at de blir yndede mål for trusselaktører.
I tillegg til å komme med advarselen har CERT-UA delt instruksjoner om hvordan man kan oppdage og fjerne den ondsinnede JavaScript-koden, til de kompromitterte nettsidene.
«For å få øye på abnormal aktivitet som i det ovennevnte i loggfiler på webserveren bør man være oppmerksom på hendelser med responskoden 404, og om de ser abnorme ut, korrelere de med verdiene i HTTP-headeren 'referer', som vil inneholde adressen til web-resursen som startet en forespørsel», sier CERT-UA.
I skrivende stund eksisterer det 36 bekreftede tilfeller av nettsider med den ondsinnede koden.
Kilde: BleepingComputer
