Ερευνητές παρατήρησαν ένα νέο κύμα κυβερνοεπιθέσεων με τελικό στόχο Ουκρανικά sites. Ωστόσο, για να πραγματοποιηθούν οι επιθέσεις, οι hackers παραβιάζουν πρώτα WordPress sites και εισάγουν ένα κακόβουλο script που χρησιμοποιεί τους browsers των επισκεπτών για την εκτέλεση denial-of-service επιθέσεων (DDoS) σε sites της Ουκρανίας.
Δείτε επίσης: 2021: Πολλές κρίσιμες ευπάθειες σε WordPress plugins δεν είχαν διορθωθεί
Το MalwareHunterTeam ανακάλυψε ένα WordPress site που είχε παραβιαστεί και “μολυνθεί” με αυτό το κακόβουλο script για να στοχεύσει δέκα ουκρανικά sites με distributed denial-of-service επιθέσεις (DDoS).
Αυτά τα sites (τελικοί στόχοι) σχετίζονται με κυβερνητικές υπηρεσίες της Ουκρανίας, think tanks, sites στρατολόγησης για τη Διεθνή Λεγεώνα Εδαφικής Άμυνας της Ουκρανίας, οικονομικές υπηρεσίες κλπ. Στους στόχους βρίσκονταν, επίσης, διάφορα sites που υποστηρίζουν την Ουκρανία.
Παρακάτω, μπορείτε να δείτε τα sites που έχουν στοχευτεί:
https://stop-russian-desinformation.near.page
https://gfsis.org/
http://93.79.82.132/
http://195.66.140.252/
https://kordon.io/
https://war.ukraine.ua/
https://www.fightforua.org/
https://bank.gov.ua/
https://liqpay.ua
https://edmo.eu
Όταν φορτωθεί, το JavaScript θα αναγκάσει τον browser του επισκέπτη ενός WordPress site να εκτελέσει HTTP GET requests σε κάθε έναν από τους ιστότοπους που αναφέρονται παραπάνω.
Οι επιθέσεις DDoS συμβαίνουν στο παρασκήνιο και ο χρήστης του browser (επισκέπτης ενός WordPress site) δεν καταλαβαίνει τι συμβαίνει. Το μόνο που ίσως παρατηρεί είναι ότι το πρόγραμμα περιήγησής του είναι πιο αργό.
Δείτε επίσης: Ουκρανοί coders: Μοιράζουν το χρόνο τους μεταξύ εργασίας και κυβερνοπολέμου
Αυτό επιτρέπει στα scripts να εκτελούν τις επιθέσεις DdoS, ενώ ο επισκέπτης δεν γνωρίζει ότι το πρόγραμμα περιήγησής του έχει χρησιμοποιηθεί για επίθεση.
Κάθε request προς τους στοχευμένους ιστότοπους θα χρησιμοποιεί ένα τυχαίο query string για να λαμβάνεται απευθείας από τον server που δέχεται επίθεση.
Ο developer Andrii Savchenko δηλώνει ότι εκατοντάδες WordPress sites έχουν παραβιαστεί για τη διεξαγωγή DdoS επιθέσεων στα ουκρανικά sites.
Σύμφωνα με το BleepingComputer, το ίδιο script χρησιμοποιείται από τον φιλοουκρανικό ιστότοπο, https://stop-russian-desinformation.near.page, για τη διεξαγωγή επιθέσεων σε ρωσικούς ιστότοπους. Κατά την επίσκεψη στο site, τα προγράμματα περιήγησης των χρηστών χρησιμοποιούνται για τη διεξαγωγή επιθέσεων DDoS σε 67 ρωσικούς ιστότοπους.
Δείτε επίσης: Sophos Firewall: Κρίσιμη ευπάθεια επιτρέπει εκτέλεση κώδικα απομακρυσμένα
Ενώ αυτό το site διευκρινίζει ότι θα χρησιμοποιεί προγράμματα περιήγησης επισκεπτών για τη διεξαγωγή επιθέσεων DDoS εναντίον ρωσικών ιστότοπων, τα παραβιασμένα WordPress sites χρησιμοποιούν τα scripts χωρίς να το γνωρίζουν οι κάτοχοι ή οι επισκέπτες των sites.
Πηγή: Bleeping Computer