Attacchi DDoS ai siti WordPress dell’Ucraina eseguiti dai loro stessi utenti

Il team di risposta alle emergenze informatiche dell’Ucraina (CERT-UA) ha pubblicato un avviso recentemente sugli attacchi DDoS (Distributed Denial of Service) in corso contro i siti filo-ucraini e il portale web del governo.

Gli attori delle minacce, che al momento rimangono sconosciuti, stanno compromettendo i siti WordPress e iniettando codice JavaScript dannoso per eseguire gli attacchi.

Questi script sono inseriti nella struttura HTML dei file principali del sito Web e sono codificati in base64 per eludere il rilevamento.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il codice viene eseguito sul computer del visitatore del sito Web e indirizza le risorse di calcolo disponibili per generare un numero anomalo di richieste di attacco agli oggetti (URL) definiti nel codice.

Il risultato è che alcuni dei siti web target vengono sopraffatti dalle richieste e, di conseguenza, resi inaccessibili ai loro visitatori abituali.

Tutto questo accade senza che i proprietari o i visitatori dei siti se ne accorgano, fatta eccezione forse per alcuni rallentamenti di prestazioni appena percettibili per questi ultimi.

Alcuni dei siti web di destinazione sono:

• kmu.gov.ua (portale del governo ucraino)
• callrussia.org (progetto di sensibilizzazione in Russia)
• gngforum.ge (inaccessibile)
• secjuice.com (consigli infosec per gli ucraini)
• liqpay.ua (inaccessibile)
• gfis.org.ge (inaccessibile)
• playforukraine.org (raccolta fondi basata sul gioco)
• war.ukraine.ua (portale di notizie)
• micro.com.ua (inaccessibile)
• fightforua.org (portale internazionale di arruolamento)
• edmo.eu (portale di notizie)
• ntnu.no (sito universitario norvegese)
• megmar.pl (azienda di logistica polacca)

Le entità e i siti di cui sopra hanno preso una posizione ferma a favore dell’Ucraina nel conflitto militare corso con la Russia, quindi non sono stati selezionati a caso. 

Tuttavia, non si sa molto sull’origine di questi attacchi.

A marzo, una campagna DDoS simile è stata condotta utilizzando lo stesso script ma contro un gruppo più ristretto di siti web filo-ucraini, nonché contro obiettivi russi.

La risposta all’incidente

Il CERT-UA sta lavorando a stretto contatto con la Banca nazionale ucraina per implementare misure difensive contro questa campagna DDoS.

L’agenzia ha informato i proprietari, i registrar e i fornitori di servizi di hosting dei siti Web compromessi della situazione e ha fornito istruzioni su come rilevare e rimuovere JavaScript dannoso dai loro siti.

“Per rilevare attività anomale simili nei file di registro del server web, dovresti prestare attenzione agli eventi con il codice di risposta 404 e, se sono anormali, correlarli con i valori dell’intestazione HTTP Referer, che conterrà l’indirizzo della risorsa web che ha avviato la richiesta”

avverte CERT-UA .

Al momento, almeno 36 siti Web stanno ricevendo richieste non congruenti sui loro URL di destinazione, ma questo elenco potrebbe cambiare in qualsiasi momento.

Per questo motivo, CERT-UA ha incluso nel report uno strumento di rilevamento per aiutare tutti gli amministratori di siti Web a scansionare i loro siti ora e in futuro.

Inoltre, è importante mantenere aggiornati i sistemi di gestione dei contenuti (CMS) del tuo sito, utilizzare l’ultima versione disponibile di tutti i plug-in attivi e limitare l’accesso alle pagine di gestione del sito web.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli