Национальная группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) предупредила о продолжающейся распределенной атаке типа «отказ в обслуживании» (DDoS).
Как сообщает BleepingComputer, неизвестные злоумышленники проводят рейд с помощью сайтов WordPress, зараженных вредоносным кодом JavaScript.
Скрипты внедряются в HTML-структуру основных файлов сайта и кодируются с помощью шифрования Base64, чтобы оставаться скрытыми. Таким образом, каждый раз, когда человек посещает сайт, его дополнительные вычислительные мощности используются для создания большого количества запросов по целевым URL-адресам.
политические нюансы
Это связано с тем, что посетители сайта — это боты, которые наводняют украинские сайты слишком большим трафиком, чтобы серверы могли его обработать, что приводит к отказу в обслуживании.
Хуже всего то, что, если не считать едва заметной проблемы с производительностью на стороне посетителя, атаку практически невозможно обнаружить.
Некоторые из выбранных веб-сайтов включают в себя:
- kmu.gov.ua
- llamadarusia.org
- gngforum.ge
- secjuice.com
- liqpay.ua
- gfis.org.ge
- playforukraine.org
- guerra.ucrania.ua
- micro.com.ua
- сайт боевого форума.org
- edmo.eu
- ntnu.no
- megmar.pl
Эти веб-сайты, очевидно, «заняли решительную проукраинскую позицию» в продолжающейся войне с Россией, из-за чего они подверглись атакам.
Помимо предупреждения, CERT-UA также проинструктировал взломанные веб-сайты, как обнаруживать и удалять вредоносный код JavaScript из их установок.
«Для обнаружения аномальной активности, подобной той, которая упоминается в лог-файлах веб-сервера, следует обратить внимание на события с кодом ответа 404 и, если они аномальны, соотнести их со значениями HTTP-заголовка «Referrer», который будет содержать адрес веб-ресурса, отправившего запрос», — сообщили в CERT-UA.
На момент публикации было подтверждено, что 36 веб-сайтов содержат вредоносный код.
Через BleepingComputer