Украинская национальная группа реагирования на компьютерные чрезвычайные ситуации CERT-UA предупредила о продолжающейся распределенной атаке типа «отказ в обслуживании» (DDoS).
Как сообщает BleepingComputer, неизвестные злоумышленники проводят рейд с помощью сайтов WordPress, зараженных вредоносным кодом JavaScript.
Скрипты внедряются в HTML-структуру основных файлов сайта и кодируются с помощью шифрования base64, чтобы оставаться скрытыми. Поэтому каждый раз, когда человек посещает сайт, его дополнительные вычислительные мощности используются для создания большого количества запросов по целевым URL-адресам.
политические нюансы
Это связано с тем, что посетители веб-сайта — это боты, которые наводняют украинские сайты слишком большим объемом трафика, который серверы не могут обработать, что приводит к отказу в обслуживании.
Что еще хуже, помимо едва заметной проблемы с производительностью на стороне посетителя, атаку почти невозможно обнаружить.
Некоторые из выбранных веб-сайтов включают:
- kmu.gov.ua
- callrussia.org
- gngforum.ge
- secjuice.com
- liqpay.ua
- gfis.org.ge
- playforukraine.org
- war.ukraine.ua
- micro.com.ua
- Combatforua.org
- edmo.eu
- нтну.но
- мега.pl
Судя по всему, эти сайты «заняли твердую проукраинскую позицию» в продолжающейся войне с Россией, поэтому они стали мишенью.
В дополнение к предупреждению CERT-UA также проинструктировал скомпрометированные веб-сайты о том, как обнаруживать и удалять вредоносный код JavaScript из их установок.
«Для обнаружения аномальной активности, аналогичной указанной в лог-файлах веб-сервера, следует обратить внимание на события с кодом ответа 404 и, если они являются аномальными, сопоставить их со значениями HTTP-заголовка «Referrer», который будет содержать адрес веб-ресурса для создания запроса», — говорится в сообщении CERT-UA.
На момент публикации было подтверждено наличие вредоносного кода на 36 веб-сайтах.
Через BleepingComputer
