Häkkerid on alustanud ulatuslikke rünnakuid WordPressi veebisaitide vastu, süstides neisse skripte, mis sunnivad külastajate brausereid teiste saitide paroole murdma. See kaval skeem tuli ilmsiks veebisaitide küberturvalisuse ettevõtte Sucuri poolt, mis on jälginud üht ohtu kujutavat tegutsejat.
Pahavarakampaanias rünnatakse täiesti süütute ja pahaaimamatute veebilehe külastajate brauserite kaudu hajutatud toore jõu rünnakutega teisi WordPressi veebisaite, kuhu kasutaja liigub, kirjutab andmeturbefirma Sucuri, kirjeldades uut meetodit kodulehtede vastases rünnakus, mis on üle võetud ühest Web3 saitide rünnakumeetodist.
See rünnakumeetod oli keskendunud krüptorahakottide tühjendamisele, mille puhul pahatahtlikud skriptid ehk koodijupid näppasid nakatatud rahakotist kogu krüptoraha ja varad, kui keegi ühendas oma rahakoti Web3 leheküljega. Külastajatele kuvati eksitavaid sõnumeid, mis veenavad neid oma rahakotte saidiga ühendama, kuid hetkel, mil nad seda teevad, varastatakse kõik rahakotis sisalduvad varad.
Just taolised skriptid on muutunud viimase aasta jooksul väga levinuks, väidab Sucuri, kusjuures ohtu kujutavad tegutsejad loovad ise võltsitud Web3 saite koos rahakottide tühjendajatega. Seejärel häkitakse erinev hulk kasutajakontosid, luuakse YouTube'i videoid või tehakse Google'is ja sotsiaalmeedias X tasulisi reklaame, et meelitada külastajaid oma pahavaralehele ning varastada nende krüptoraha.
Sucuri uurijad aga avastasid nüüd, et ilmselt samad tegelased või nende meetodit kasutavad kurjategijad murdsid nüüd ka WordPressi saitidesse, et süstida neisse mitmes laines AngelDraineri nimelist rahakottide tühjendajat, kasutades selleks mitmeid URL-e, kust pahatahtlik kood laaditakse. Need aadressid muutuvad pidevalt, kuid hiljuti oli selleks veel URL ehk veebiaadress kujul dynamiclink[.]lol/cachingjs/turboturbo.js.
Veebruaris hakkas ründaja kasutama veebilehe süütute külastajate brausereid teiste WordPressi saitide paroolide murdmiseks, kasutades selleks oma domeenist aadressilt dynamic-linx[.]com/chx.js laetud pahatahtlikku skripti.
Paroolide murdmise armee
Sucuri raport näitab, et ründaja kasutab kompromiteeritud WordPressi saite, et laadida skripte, mis sunnivad külastajate brausereid teostama nii-öelda toore jõu rünnakuid, et arvata ära teiste veebisaitide oluliste kontode paroole neid pidevalt proovides. Seda tehaksegi pahaaimamatu veebikülastaja brauseri kaudu.
Brutoforce- ehk toore jõu rünnak tähendab, et sissetungija proovib sisse logida soovitult administraatori kontole, kasutades erinevaid paroole, et lõpuks õige ära arvata. Õigete volitustega saab ohtlik sissemurdja varastada andmeid, süstida pahatahtlikke skripte omakorda järgmistele veebilehtedele rünnaku organiseerimiseks ning krüpteerida leheküljel olevaid faile.
Sellise häkkimiskampaania osana kompromiteeritakse WordPressi sait, et süstida sinna pahatahtlik kood HTML-mallide sisse. Kui külastajad hiljem lähevad sellisele veebisaidile, laetakse skriptid nende brauserisse ja proovitakse toore jõuga murda järgmisi saite.
Need programmikoodid panevad brauseri vaikselt ühendust võtma ohtu kujutava serveriga, et saada uus ülesanne paroolide murdmiseks.
Ülesanne esitatakse JSON-failina, mis sisaldab rünnaku parameetreid: ID, veebisaidi URL, konto nimi, jooksvate proovitavate paroolide partiinumber ja sada läbiproovitavat parooli.
Kui täiesti asjassepuutumatu kasutaja brauser on selle koodi abil parooli juhtumisi ära arvanud, teavitab skript digimurdvarga serverit, et saidi jaoks leiti parool. Häkker saab seejärel ühenduda saidiga juba ise.
Niikaua, kui lehekülg on avatud, põhjustab pahatahtlik skript veebibrauseri poolt korduva ühenduse loomise ründaja serveriga, et saada uus ülesanne täitmiseks ning proovida aina uusi ja uusi paroolipakke.
Otsingumootori PublicHTML andmetel on praegu üle 1700 saidi häkitud nende skriptide või nende allalaadijatega, tahtmatult värvatakse aga sellesse toore jõuga lahtimuukijate armeesse aina uusi pahaaimamatuid veebikülastajaid.
Mida laiem portfell on saitidest, mis seda rünnakut korraldavad, seda massiivsemalt hakatakse ründama neid Wordpressi lehti, mis on ülesannetesse lisatud. Seega võib hakata taoliste toore jõu rünnakute arv kasvama eksponentsiaalselt ja võib puudutada aina enam Wordpressi kodulehti.
Mida oma WordPressi lehega ette võtta?
Põhiküsimuseks WordPressi lehe omanikel on nüüd mõistagi, kuidas saaks seda rünnakut oma lehele ära hoida?
Iseenesest polegi see väga keeruline. Kuna külastajate brauserid üritavad skriptiga sada korda järjest etteantud paroolidega sisse murda, siis peaks olema kodulehe kasutajate salasõnad piisavalt turvalised. Kindlasti ei tohiks need sisalduda sõnastikes või lekkinud paroolide andmebaasides. Lihtsasti äraarvatavate paroolide nimekirja leiab näiteks sellelt lehelt. Tegemist on küll ingliskeelse maailma nimekirjaga, kuid mõnesid Eesti kasutajate äraarvatavaid paroole võib lisada näiteks sellelt lehelt.
Selleks on olemas WordPressil mitmeid mooduleid, mis ei luba kasutada liiga nõrku paroole, nagu näiteks No Weak Passwords või mõni muu sarnane seadistus.
Teiseks võiks oma kodulehte kaitsta taoliste toore jõu rünnakute eest mõne vastava mooduliga, mis ei lase liiga palju järjest katsetada uusi salasõnasid. Neid pluginaid leiab ohtralt siit. Osad viivitavad iga järgmise paroolisisestamisega mingi aja, nii et palju kordi proovima hakates kulub üüratu aeg, et piisavalt palju variante läbi katsetada. Teised blokeerivad sisselogimise mingiks ajaks, kui ettenähtud arv kordi on parooli valesti sisestatud.
Kolmandaks on alati kasulik või lausa hädavajalik kaitsta olulisi kontosid mitmeastmelise autentimisega. Selleks leiab Wordpressi selge juhendi siit. Siis peab lisaks paroolile kinnitama oma isikut ka mõne muu vahendiga: äpiga mobiilis, SMS-koodiga või e-postile saadetava koodiga. Seda juba toore jõuga lahti ei murra.
