Ucrânia alvo de ataques DDoS de sites WordPress comprometidos

0
336

[ad_1]

A Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) divulgou um aviso sobre ataques DDoS (Distributed Denial of Service) em andamento direcionados a sites pró-ucranianos e ao portal do governo.

Atores de ameaças, que permanecem desconhecidos no momento, estão comprometendo sites WordPress e injetando código JavaScript malicioso para realizar os ataques.

Esses scripts são colocados na estrutura HTML dos principais arquivos do site e são codificados em base64 para evitar a detecção.

O código é executado no computador do visitante do site e direciona seus recursos computacionais disponíveis para gerar um número anormal de solicitações para atacar objetos (URLs) definidos no código.

Detalhes sobre o código JS malicioso
Detalhes sobre o código JS malicioso (CERT-UA)

O resultado é que alguns dos sites de destino estão sobrecarregados com solicitações e, como resultado, ficam inacessíveis para seus visitantes regulares.

Tudo isso acontece sem que os proprietários ou visitantes dos sites comprometidos estejam cientes disso, exceto talvez por alguns problemas de desempenho pouco perceptíveis para o último.

Alguns dos sites segmentados são:

  • kmu.gov.ua (portal do governo ucraniano)
  • callrussia.org (projeto de conscientização na Rússia)
  • gngforum.ge (inacessível)
  • secjuice.com (dicas de segurança do computador para ucranianos)
  • liqpay.ua (inacessível)
  • gfis.org.ge (inacessível)
  • playforukraine.org (angariação de fundos baseada em jogos)
  • war.ukraine.ua (portal de notícias)
  • micro.com.ua (inacessível)
  • fightforua.org (portal de alistamento internacional)
  • edmo.eu (portal de notícias)
  • ntnu.no (site da universidade norueguesa)
  • megmar.pl (empresa de logística polonesa)

As entidades e locais mencionados acima assumiram uma forte postura pró-ucraniana no conflito militar em curso com a Rússia, por isso não foram selecionados aleatoriamente. Ainda assim, não se sabe muito sobre as origens desses ataques.

Em março, uma campanha de DDoS semelhante foi realizada usando o mesmo script, mas contra um conjunto menor de sites pró-ucranianos, bem como alvos russos.

detecção e resposta

O CERT-UA está trabalhando em estreita colaboração com o Banco Nacional da Ucrânia para implementar medidas defensivas contra esta campanha DDoS.

A agência informou os proprietários, registradores e provedores de serviços de hospedagem dos sites comprometidos sobre a situação e forneceu instruções sobre como detectar e remover JavaScript malicioso de seus sites.

“Para detectar atividade anormal semelhante à mencionada nos arquivos de log do servidor web, deve-se atentar para os eventos com o código de resposta 404 e, se estiverem anormais, correlacioná-los com os valores do cabeçalho HTTP “Referer”, que conterá o endereço do recurso da Web que iniciou uma solicitação”, relata o CERT-UA.

Comprometer o sinal nos logs
Comprometer o sinal nos logs (CERT-UA)

No momento, pelo menos 36 sites confirmados estão canalizando solicitações indesejadas maliciosas para direcionar URLs, mas essa lista pode mudar ou ser atualizada a qualquer momento.

Por esse motivo, o CERT-UA incluiu uma ferramenta de detecção no relatório para ajudar todos os administradores de sites a verificar seus sites agora e no futuro.

Além disso, é importante manter os sistemas de gerenciamento de conteúdo (CMS) do seu site atualizados, usar a versão mais recente disponível dos plug-ins ativos e restringir o acesso às páginas de administração do site.

[ad_2]