Ukraine Ziel von DDoS-Angriffen von manipulierten WordPress-Seiten

Das ukrainische Computer-Notfallteam (CERT-UA) hat eine Mitteilung veröffentlicht, in der es vor laufenden DDoS-Angriffen (Distributed Denial of Service) warnt, die sich gegen pro-ukrainische Webseiten und das Webportal der Regierung richten.

Die Akteure der Bedrohung, die derzeit noch unbekannt sind, greifen WordPress Webseiten an und fügen schädlichen JavaScript Code ein, um die Angriffe durchzuführen.

Diese Skripte werden in der HTML-Struktur der Hauptdateien der Webseite platziert und mit base64 kodiert, um die Erkennung zu umgehen.

Der Code wird auf dem Computer des Webseiten-Besuchers ausgeführt und leitet dessen verfügbare Rechenressourcen dazu an, eine Unzahl von Anfragen an im Code definierte Angriffsobjekte (URLs) zu generieren.

Das Ergebnis ist, dass einige der Zielwebseiten mit den Anfragen überfordert sind und daher für ihre regulären Besucher nicht mehr zugänglich sind.

All dies geschieht, ohne dass die Eigentümer oder Besucher der manipulierten Webseiten es je bemerken, abgesehen von einigen kaum merklichen Leistungseinbußen für die Letztgenannten.

Einige der angegriffenen Webseiten sind:

  • kmu.gov.ua (ukrainisches Regierungsportal)
  • callrussia.org (Projekt zur Bewusstseinsbildung in Russland)
  • gngforum.ge (unzugänglich)
  • secjuice.com (Sicherheitstipps für Ukrainer)
  • liqpay.ua (unzugänglich)
  • gfis.org.ge (unzugänglich)
  • playforukraine.org (spielbasierte Spendenaktion)
  • war.ukraine.ua (Nachrichtenportal)
  • micro.com.ua (unzugänglich)
  • fightforua.org (internationales Portal zur Anwerbung)
  • edmo.eu (Nachrichtenportal)
  • ntnu.no (norwegische Universitätsseite)
  • megmar.pl (polnisches Logistikunternehmen)

Die oben genannten Einrichtungen und Webseiten haben im laufenden militärischen Konflikt mit Russland eine starke Position zugunsten der Ukraine eingenommen, sie wurden also nicht zufällig ausgewählt. Über die Hintergründe dieser Angriffe ist noch nicht viel bekannt.

Im März wurde eine ähnliche DDoS-Kampagne mit demselben Skript durchgeführt, die sich jedoch gegen eine kleinere Anzahl von pro-ukrainischen Websites sowie gegen russische Ziele richtete.

Erkennung und Reaktion

Das CERT-UA arbeitet eng mit der Nationalbank der Ukraine zusammen, um Abwehrmaßnahmen gegen diese DDoS-Kampagne zu ergreifen.

Die Agentur hat die Eigentümer, Registrare und Hosting-Service-Provider der angegriffenen Webseiten über die Situation informiert und Anweisungen zur Erkennung und Entfernung des bösartigen JavaScript von ihren Webseiten bereitgestellt.

Zurzeit leiten mindestens 36 bestätigte Webseiten schädliche Anfragen an die Ziel-URLs weiter, aber diese Liste kann sich jederzeit ändern oder erneuert werden.

Aus diesem Grund hat CERT-UA ein Erkennungstool in den Bericht aufgenommen, das allen Webseiten-Administratoren hilft, ihre Webseiten zu scannen.

Darüber hinaus ist es wichtig, die Content-Management-Systeme (CMS) Ihrer Webseite auf dem neuesten Stand zu halten, die neueste verfügbare Version aller aktiven Plugins zu verwenden und den Zugriff auf die Administratoren-Webseite zu beschränken.