Ukrayna Ulusal Bilgisayar Acil Müdahale Ekibi CERT-UA, devam eden bir dağıtılmış hizmet reddi (DDoS) saldırısına karşı uyardı.
Gibi BleeBilgisayar Bilinmeyen tehdit aktörleri, kötü amaçlı JavaScript kodu bulaşmış WordPress sitelerinin yardımıyla baskını gerçekleştiriyor.
Komut dosyaları, sitenin ana dosyalarının HTML yapısına enjekte edilir ve gözden uzak kalmaları için base64 şifreleme ile kodlanır. Bu nedenle, biri siteyi ziyaret ettiğinde, hedef URL’lere karşı çok sayıda istek oluşturmak için ekstra bilgi işlem gücü kullanılır.
Siyasi çağrışımlar
Aslında, web sitesi ziyaretçileri, Ukrayna sitelerini sunucuların kaldıramayacağı kadar fazla trafikle dolduran ve hizmet reddine neden olan botlardır.
En kötü yanı, ziyaretçinin uç noktasında zar zor fark edilen bir performans sorunu dışında, saldırıyı tespit etmek neredeyse imkansız.
Hedeflenen web sitelerinden bazıları şunlardır:
- kmu.gov.ua
- callrussia.org
- gngforum.ge
- secjuice.com
- liqpay.ua
- gfis.org.ge
- playforukraine.org
- savaş.ukrayna.ua
- mikro.com.ua
- dövüşforua.org
- edmo.eu
- ntnu.no
- megmar.pl
İddiaya göre, bu web siteleri Rusya ile devam eden savaşta “Ukrayna lehine güçlü bir duruş sergilediler”, bu yüzden hedef alındılar.
Uyarıyı yayınlamanın yanı sıra, CERT-UA, güvenliği ihlal edilmiş web sitelerine kötü amaçlı JavaScript kodunun kendi tesislerinden nasıl algılanacağı ve kaldırılacağı konusunda talimat verdi.
“Web sunucusunun log dosyalarında bahsi geçen anormal aktivitenin benzerini tespit etmek için, 404 cevap koduna sahip olaylara dikkat etmeli ve anormal ise, bunları HTTP başlığındaki ‘Referer’ değerleri ile ilişkilendirmelisiniz, CERT-UA, başlattığı web kaynağının adresini içerecektir” dedi.
Basın zamanında, kötü amaçlı kodu taşıdığı onaylanan 36 web sitesi vardı.
Aracılığıyla BleeBilgisayar
