Посетители некоторых интернет-сайтов без собственного сведения атаковали онлайн-ресурсы украинских властей. Для этого использовались скомпрометированные сайты. На них размещался скрипт, который использует браузеры посетителей для осуществления распределенных атак типа DoS на украинские веб-сайты.
Команда по кибербезопасности MalwareHunterTeam рассказала о сайте IformaRedsocial, который целился на десять украинских веб-сайтов. Эти веб-сайты включают украинские государственные учреждения, аналитические центры, сайты набора в Международный легион обороны Украины, финансовые сайты и другие проукраинские сайты.
Полный список целевых веб-сайтов приведен ниже:
https://stop-russian-desinformation.near.page
https://gfsis.org/
http://93.79.82.132/
http://195.66.140.252/
https://kordon.io/
https://war.ukraine.ua/
https://www.fightforua.org/
https://bank.gov.ua/
https://liqpay.ua
https://edmo.eu
После загрузки JavaScript заставит браузер посетителя выполнять HTTP-запросы GET на каждый из перечисленных сайтов, не превышая 1000 одновременных запросов за раз.
DDoS-атаки проходят в фоновом режиме без осознания пользователя об этом. Лишь внимательные пользователи могут догадаться о том, что что-то происходит в результате некоторого замедления работы браузера.
Таким образом, скрипт может осуществлять DDoS-атаки, пока посетитель не знает, что его браузер используется для атаки. Каждый запрос на целевые веб-сайты будет использовать случайную строку запроса, чтобы запрос не попадал в службу кэширования, такой как Cloudflare или Akamai, а непосредственно обрабатывался атакованным сервером.Например, скрипт DDoS будет генерировать запросы, подобные таковым, в журналах доступа веб-сервера:
«GET /?17.650025158868488 HTTP/1.1»
«GET /?932.8529889504794 HTTP/1.1»
«GET /?71.59119445542395 HTTP/1.1»
Разработчик Андрей Савченко утверждает, что есть сотни скомпрометированных таким образом сайтов.
«На самом деле их около сотни. К сожалению, многие провайдеры/владельцы не реагируют», – написал Савченко в Twitter.
Интересно, что схожий механизм организации атак на российские сайты ранее использовал проукраинский ресурс https://stop-russian-desinformation.near.page. При посещении этого сайта браузеры пользователей используются для проведения DDoS-атак на 67 российских веб-сайтов. Отличие в том, что проукраинский ресурс предупреждает пользователей о том, как он будет использовать их браузер.