Do not speak Portuguese? Translate this site with Google or Bing Translator

Ataques DDoS tem como alvo sites pró-Ucrânia e do governo da Ucrânia

Utilizando sites WordPress comprometidos, vários ataques DDoS tem como alvo sites pró-Ucrânia e do governo da Ucrânia.

A equipe de resposta a emergências de computadores da Ucrânia (CERT-UA) publicou um anúncio alertando sobre ataques DDoS (negação de serviço distribuído) em andamento direcionados a sites pró-Ucrânia e ao portal do governo.

Ataques DDoS tem como alvo sites pró-Ucrânia e do governo da Ucrânia

Ataques DDoS tem como alvo sites pró-Ucrânia e do governo da Ucrânia
Ataques DDoS tem como alvo sites pró-Ucrânia e do governo da Ucrânia

Os agentes de ameaças, que neste momento permanecem desconhecidos, estão comprometendo sites WordPress e injetando código JavaScript malicioso para realizar os ataques.

Esses scripts são colocados na estrutura HTML dos arquivos principais do site e são codificados em base64 para evitar a detecção.

O código é executado no computador do visitante do site e direciona seus recursos computacionais disponíveis para gerar um número anormal de solicitações a objetos de ataque (URLs) definidos no código.

Ataques DDoS tem como alvo sites pró-Ucrânia e do governo da Ucrânia
Ataques DDoS tem como alvo sites pró-Ucrânia e do governo da Ucrânia – Detalhes sobre o código JS malicioso (CERT-UA)

O resultado é que alguns dos sites de destino são sobrecarregados pelas solicitações e, como resultado, ficam inacessíveis para seus visitantes regulares.

Isso tudo acontece sem que os proprietários ou os visitantes dos sites comprometidos percebam, exceto talvez por alguns problemas de desempenho quase imperceptíveis para o último.

Alguns dos sites segmentados são:

  • kmu.gov.ua (portal do governo ucraniano)
  • callrussia.org (projeto para aumentar a conscientização na Rússia)
  • gngforum.ge (inacessível)
  • secjuice.com (conselho infosec para ucranianos)
  • liqpay.ua (inacessível)
  • gfis.org.ge (inacessível)
  • playforukraine.org (angariação de fundos baseada em jogos)
  • war.ukraine.ua (portal de notícias)
  • micro.com.ua (inacessível)
  • fightforua.org (portal de alistamento internacional)
  • edmo.eu (portal de notícias)
  • ntnu.no (site da universidade norueguesa)
  • megmar.pl (empresa de logística polonesa)

As entidades e sites acima tomaram uma posição forte a favor da Ucrânia no conflito militar em curso com a Rússia, então eles não foram selecionados aleatoriamente. Ainda assim, não se sabe muito sobre as origens desses ataques.

Em março, uma campanha de DDoS semelhante foi realizada usando o mesmo script, mas contra um conjunto menor de sites pró-ucranianos, bem como contra alvos russos.

O CERT-UA está trabalhando em estreita colaboração com o Banco Nacional da Ucrânia para implementar medidas defensivas contra esta campanha DDoS.

A agência informou os proprietários, registradores e provedores de serviços de hospedagem dos sites comprometidos sobre a situação e forneceu instruções sobre como detectar e remover o JavaScript malicioso de seus sites.

O CERT-UA informa que:

“Para detectar atividade anormal semelhante à mencionada nos arquivos de log do servidor web, deve-se atentar para os eventos com o código de resposta 404 e, se estiverem anormais, correlacioná-los com os valores do cabeçalho HTTP “Referer “, que conterá o endereço do recurso da Web que iniciou uma solicitação”

Ataques DDoS tem como alvo sites pró-Ucrânia e do governo da Ucrânia
Ataques DDoS tem como alvo sites pró-Ucrânia e do governo da Ucrânia – Sinal de comprometimento nos logs (CERT-UA)

No momento, pelo menos 36 sites confirmados estão canalizando solicitações de lixo maliciosas para os URLs de destino, mas essa lista pode ser alterada ou atualizada a qualquer momento.

Por esse motivo, o CERT-UA incluiu uma ferramenta de detecção no relatório para ajudar todos os administradores de sites a verificar seus sites agora e no futuro.

Além disso, é importante manter os sistemas de gerenciamento de conteúdo (CMS) do seu site atualizados, usar a versão mais recente disponível de qualquer plug-in ativo e restringir o acesso às páginas de gerenciamento do site.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.