Відвідувачі деяких інтернет-сайтів без власного відома атакували онлайн-ресурси української влади. Для цього використовувалися скомпрометовані веб-сайти. На них розміщували скрипт, який використовує браузери відвідувачів для здійснення розподілених атак типу DoS на українські веб-сайти.
Команда з кібербезпеки MalwareHunterTeam розповіла про сайт IformaRedsocial, який цілився на десять українських веб-сайтів. Ці веб-сайти включають українські державні установи, аналітичні центри, сайти набору до Міжнародного легіону оборони України, фінансові сайти та інші проукраїнські сайти.
Повний список цільових веб-сайтів наведено нижче:
https://stop-russian-desinformation.near.page
https://gfsis.org/
http://93.79.82.132/
http://195.66.140.252/
https://kordon.io/
https://war.ukraine.ua/
https://www.fightforua.org/
https://bank.gov.ua/
https://liqpay.ua
https://edmo.eu
Після завантаження JavaScript змусить браузер відвідувача виконувати HTTP-запити GET до кожного з перелічених сайтів, не перевищуючи 1000 одночасних запитів за раз.
DDoS-атаки відбуваються у фоновому режимі без усвідомлення користувача про це. Лише пильні користувачі можуть здогадатися про те, що щось відбувається внаслідок деякого уповільнення роботи браузера.
У такий спосіб скрипт може здійснювати DDoS-атаки, поки відвідувач не знає, що його браузер використовується для атаки. Кожен запит до цільових веб-сайтів буде використовувати випадковий рядок запиту, щоб запит не потрапляв до служби кешування, такої як Cloudflare або Akamai, а безпосередньо оброблювався атакованим сервером.
Наприклад, скрипт DDoS генеруватиме запити, подібні до таких, у журналах доступу веб-сервера:
“GET /?17.650025158868488 HTTP/1.1”
“GET /?932.8529889504794 HTTP/1.1”
“GET /?71.59119445542395 HTTP/1.1”
Розробник Андрій Савченко стверджує, що є сотні скомпрометованих таким чином сайтів.
«Насправді їх близько сотні. На жаль, багато провайдерів/власників не реагують», – написав Савченко у Twitter.
Цікаво, що схожий механізм організації атак на російські сайти раніше використав проукраїнський ресурс https://stop-russian-desinformation.near.page. При відвідуванні цього сайту браузери користувачів використовуються для проведення DDoS-атак на 67 російських веб-сайтів. Відмінність в тому, що проукраїнський ресурс попереджає користувачів про те, як він використовуватиме їхній браузер.
