Неділя, 22 Грудня, 2024

Інтернет-користувачі мимоволі атакували українські сайти

Відвідувачі деяких інтернет-сайтів без власного відома атакували онлайн-ресурси української влади. Для цього використовувалися скомпрометовані веб-сайти. На них розміщували скрипт, який використовує браузери відвідувачів для здійснення розподілених атак типу DoS на українські веб-сайти.

Команда з кібербезпеки MalwareHunterTeam розповіла про сайт IformaRedsocial, який цілився на десять українських веб-сайтів. Ці веб-сайти включають українські державні установи, аналітичні центри, сайти набору до Міжнародного легіону оборони України, фінансові сайти та інші проукраїнські сайти.

Повний список цільових веб-сайтів наведено нижче:

https://stop-russian-desinformation.near.page

https://gfsis.org/

http://93.79.82.132/

http://195.66.140.252/

https://kordon.io/

https://war.ukraine.ua/

https://www.fightforua.org/

https://bank.gov.ua/

https://liqpay.ua

https://edmo.eu

Після завантаження JavaScript змусить браузер відвідувача виконувати HTTP-запити GET до кожного з перелічених сайтів, не перевищуючи 1000 одночасних запитів за раз.

DDoS-атаки відбуваються у фоновому режимі без усвідомлення користувача про це. Лише пильні користувачі можуть здогадатися про те, що щось відбувається внаслідок деякого уповільнення роботи браузера.

У такий спосіб скрипт може здійснювати DDoS-атаки, поки відвідувач не знає, що його браузер використовується для атаки. Кожен запит до цільових веб-сайтів буде використовувати випадковий рядок запиту, щоб запит не потрапляв до служби кешування, такої як Cloudflare або Akamai, а безпосередньо оброблювався атакованим сервером.

Наприклад, скрипт DDoS генеруватиме запити, подібні до таких, у журналах доступу веб-сервера:

“GET /?17.650025158868488 HTTP/1.1”

“GET /?932.8529889504794 HTTP/1.1”

“GET /?71.59119445542395 HTTP/1.1”

Розробник Андрій Савченко стверджує, що є сотні скомпрометованих таким чином сайтів.

«Насправді їх близько сотні. На жаль, багато провайдерів/власників не реагують», – написав Савченко у Twitter.

Цікаво, що схожий механізм організації атак на російські сайти раніше використав проукраїнський ресурс https://stop-russian-desinformation.near.page. При відвідуванні цього сайту браузери користувачів використовуються для проведення DDoS-атак на 67 російських веб-сайтів. Відмінність в тому, що проукраїнський ресурс попереджає користувачів про те, як він використовуватиме їхній браузер.

Євген
Євген
Євген пише для TechToday з 2012 року. Інженер за освітою. Захоплюється реставрацією старих автомобілів.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися