Nell’era del Digital World, dove quasi ogni aspetto della vita quotidiana viene gestito dalla tecnologia informatica, gli attacchi hacker sono all’ordine del giorno. Questa volta nel mirino sono finiti 20mila portali creati dalla piattaforma di WordPress.
Questa provocazione potrebbe mettere seriamente in difficoltà migliaia di aziende in quanto questa piattaforma software è la più utilizzata per la creazione di siti internet e blog gratuiti. Quale sarà lo scopo di questa azione? Come difendersi in futuro?
La Brute Force
In un’analisi recente sugli attacchi Brute Force contro i siti costruiti con la piattaforma WordPress, il gruppo di ricerca Wordfence, incaricato della sicurezza informatica, si afferma che queste violazioni hanno creato una rete di siti bot infetti che ha portato all’attacco di numerosi portali, violandone l’accesso.
Si parla di attacco Brute Force in quanto si è cercato più volte di indovinare Nome Utente e Password per accedere al pannello di controllo dei siti WordPress. Queste operazioni automatizzate utilizzano gli accessi di autenticazione alla piattaforma, solitamente presi da un Data Breach o da furti precedenti. Questi attacchi hanno usato il protocollo XML-Rpc, comando che permette di effettuare chiamate a procedure remote attraverso l’utilizzo del Web.
Questo protocollo usa Xml per codificare la richiesta che verrà poi trasportata mediante il protocollo http o https.
Questi hacker si sono serviti di un gruppo di quattro server C2 command and control, hanno inviato richieste d’accesso a più di 14mila server proxy forniti dal provider russo best-ptoxy, la cui funzione è stata proprio quella di rendere anonimo il traffico dei quattro server C2. In questo modo sono stati attaccati oltre 20mila siti WordPress. Di conseguenza, questi siti infetti hanno iniziato a replicarsi, a loro volta, e hanno creato altri attacchi brute force verso altri siti che avevano alla base l’interfaccia Xml-Rpc.
La controffensiva
Il Team Wordfence ha rassicurato gli utenti spiegando: “Molti utenti di WordPress potrebbero non sapere che questo attacco multicall Xml non è più efficace. Una patch è stata introdotta in WordPress 4.4. Con questa patch, se un tentativo di accesso in una richiesta Xml-Rpc non riesce su un sito web target, quel sito web fallirà immediatamente tutti i tentativi successivi nella stessa richiesta, anche se le credenziali sono valide”, ma continuano, sostenendo “gli aggressori di questa campagna sembrano essere consapevoli di questo miglioramento”. La strategia di attacco futuro degli hacker potrebbe essere diversa e migliore?
Per mettere in atto una potente controffensiva, il gruppo di Wordfence, dopo aver bloccato le richieste hacking inviate dai sistemi C2 alla rete di siti WordPress infettati, ha deciso di prendere visione di tutte le sulla strutture di attacco, per poi organizzare una buona difesa.
