Hackede WordPress-sider brukt i DDoS-angrep mot ukrainske mål

Russia
Et bilde av et tastatur der Enter-knappen har påmalt et russisk flagg, med en liten gullbjørn stående på tasten. (Foto: Shutterstock / Aleksandra Gigowska)

Den nasjonale organisasjonen CERT-UA (Computer Emergency Response Team for Ukraine) advarer nå om et pågående DDoS-angrep mot det krigsherjede landet.

Ifølge BleepingComputer utfører nå ukjente trusselaktører et raid ved hjelp av WordPress-sider infiserte av ondsinnet JavaScript-kode.

Scriptene injiseres inn i HTML-strukturen i sidenes hovedfiler og krypteres ved hjelp av base64-kryptering for å holdes skjult. Når noen besøker siden blir eventuell overflødig prosessortid brukt til å lage store mengder forespørsler rettet mot enkelte URL-er.

Politiske koplinger

I praksis er besøkende hos nettsidene botene som overfyller ukrainske nettsider med mer trafikk enn serverne klarer å håndtere, og som dermed fører til såkalt tjenestenekt (denial of service.)

Et av de mest problematiske aspektene ved metoden er at de færreste besøkende merker noen problemer med ytelsen. Angrepene er nesten umulige å oppdage.

Noen av nettsidene som angripes er de følgende:

  • kmu.gov.ua 
  • callrussia.org 
  • gngforum.ge 
  • secjuice.com 
  • liqpay.ua 
  • gfis.org.ge 
  • playforukraine.org 
  • war.ukraine.ua 
  • micro.com.ua 
  • fightforua.org
  • edmo.eu 
  • ntnu.no 
  • megmar.pl

Etter sigende skal disse nettsidene ha «[...] tatt et tydelig standpunkt i favør Ukraina» i forbindelse med den pågående krigen med Russland, og resultatet er at de blir yndede mål for trusselaktører.

I tillegg til å komme med advarselen har CERT-UA delt instruksjoner om hvordan man kan oppdage og fjerne den ondsinnede JavaScript-koden, til de kompromitterte nettsidene.

«For å få øye på abnormal aktivitet som i det ovennevnte i loggfiler på webserveren bør man være oppmerksom på hendelser med responskoden 404, og om de ser abnorme ut, korrelere de med verdiene i HTTP-headeren 'referer', som vil inneholde adressen til web-resursen som startet en forespørsel», sier CERT-UA.

I skrivende stund eksisterer det 36 bekreftede tilfeller av nettsider med den ondsinnede koden.

Kilde: BleepingComputer

John F. Kristiansen
Redaktør

John er utdannet innen elektronikk, film og journalistikk. Han skrev sitt første script på en HP Vectra (386) i en æra da det var kult å laste ned Sierra-spill fra BBS-er. John er teknologifiksert til tusen, men har en spesiell forkjærlighet for datamaskiner med overdådige skjermkort, kameraer og lydprodukter. Som norsk redaktør tar han seg av det meste som har å gjøre med den daglige driften av TechRadar.

Med bidrag fra