L’Ukraine ciblée par des attaques DDoS provenant de sites WordPress compromis

DDoS attack

L’équipe d’intervention d’urgence informatique de l’Ukraine (CERT-UA) a publié une annonce mettant en garde contre les attaques DDoS (déni de service distribué) en cours ciblant des sites pro-ukrainiens et le portail Web du gouvernement.

Les acteurs de la menace, qui restent inconnus à l’heure actuelle, compromettent les sites WordPress et injectent du code JavaScript malveillant pour effectuer les attaques.

Ces scripts sont placés dans la structure HTML des fichiers principaux du site Web et sont encodés en base64 pour échapper à la détection.

Le code s’exécute sur l’ordinateur du visiteur du site Web et dirige ses ressources de calcul disponibles pour générer un nombre anormal de demandes d’attaque d’objets (URL) définis dans le code.

Détails sur le code JS malveillant
Détails sur le code JS malveillant (CERT-UA)

Le résultat est que certains des sites Web cibles sont submergés par les demandes et, par conséquent, rendus inaccessibles à leurs visiteurs réguliers.

Tout cela se produit sans que les propriétaires ou les visiteurs des sites compromis ne s’en rendent jamais compte, à l’exception peut-être de quelques problèmes de performances à peine perceptibles pour ces derniers.

Certains des sites Web ciblés sont :

  • kmu.gov.ua (portail du gouvernement ukrainien)
  • callrussia.org (projet de sensibilisation en Russie)
  • gngforum.ge (inaccessible)
  • secjuice.com (conseils infosec pour les Ukrainiens)
  • liqpay.ua (inaccessible)
  • gfis.org.ge (inaccessible)
  • playforukraine.org (collecte de fonds basée sur le jeu)
  • war.ukraine.ua (portail d’actualités)
  • micro.com.ua (inaccessible)
  • fightforua.org (portail international d’enrôlement)
  • edmo.eu (portail d’actualités)
  • ntnu.no (site de l’université norvégienne)
  • megmar.pl (société polonaise de logistique)

Les entités et sites ci-dessus ont adopté une position ferme en faveur de l’Ukraine dans le conflit militaire en cours avec la Russie, ils n’ont donc pas été sélectionnés au hasard. Pourtant, on ne sait pas grand-chose sur les origines de ces attaques.

En mars, une campagne DDoS similaire a été menée en utilisant le même script mais contre un plus petit ensemble de sites Web pro-ukrainiens, ainsi que contre des cibles russes.

Détection et réponse

Le CERT-UA travaille en étroite collaboration avec la Banque nationale d’Ukraine pour mettre en place des mesures défensives contre cette campagne DDoS.

L’agence a informé les propriétaires, les bureaux d’enregistrement et les fournisseurs de services d’hébergement des sites Web compromis de la situation et a fourni des instructions sur la façon de détecter et de supprimer le JavaScript malveillant de leurs sites.

« Pour détecter une activité anormale similaire à celle mentionnée dans les fichiers journaux du serveur Web, vous devez faire attention aux événements avec le code de réponse 404 et, s’ils sont anormaux, les corréler avec les valeurs de l’en-tête HTTP « Referer « , qui contiendra l’adresse de la ressource Web à l’origine d’une requête, » conseille le CERT-UA.

Signe de compromission dans les logs
Signe de compromission dans les logs (CERT-UA)

À l’heure actuelle, au moins 36 sites Web confirmés acheminent des requêtes malveillantes vers les URL cibles, mais cette liste peut changer ou être actualisée à tout moment.

Pour cette raison, le CERT-UA a inclus un outil de détection dans le rapport pour aider tous les administrateurs de sites Web à analyser leurs sites maintenant et à l’avenir.

De plus, il est important de maintenir à jour les systèmes de gestion de contenu (CMS) de votre site, d’utiliser la dernière version disponible de tous les plug-ins actifs et de restreindre l’accès aux pages de gestion du site Web.