Šį sparčiai besiplečiantį botnetą aptiko kibernetinio saugumo bendrovė „WordFence”, atsakinga už „WordPress“ saugumą. Kompanijos specialistai netruko nustatyti sistemos pažeidžiamumą, kurį nusikaltėliai išnaudojo prijungti „WordPress“ serverius prie jiems pavaldžių įrenginių tinklo. Pasirodo, atakos taikiniu tapo tie „WordPress“ serveriai, kuriuose įjungtas XML-RPC prievadas, suteikiantis teisę iš nutolusių įrenginių inicijuoti sistemos funkcijų vykdymą.
Bendrovės „WordFence“ specialistai taip pat pastebėjo, kad atakos vardų ir slaptažodžių derinių perrinkimo algoritmas yra gana primityvus ir slaptažodžius jis generuoja prie vartotojo vardo tiesiog pridedant populiarias skaičių sekas ar metus. Kaip matyti iš kompanijos „WordFence“ pranešimo, net tokia primityvi ataka, paskleidus ją per didelį serverių kiekį, kibernetiniams nusikaltėliams yra itin sėkminga.
„WordPress“ – tai viena populiariausių turinio valdymo sistemų, naudojama reprezentacinių interneto svetainių kūrime ne tik Lietuvoje, bet ir visame pasaulyje. Paskutiniais duomenimis „WordPress“ sistemą naudoja virš 30 proc. viso pasaulio tinklapių – nuo paprasčiausių tinklaraščių iki tokių milžinų kaip „Forbes“, „Mercedes Benz“, NASA ar „Vogue“.
„WordPress“ sistema turėtų būti saugi, nes pagal geriausias atviro kodo programinės įrangos praktikas prie jos tobulinimo prisideda didelė programuotojų bei testuotojų bendruomenė, o turinio valdymo sistemos versijos yra nuolat naujinamos. Tad tokių spragų atsiradimas stebina.
Saugumo ekspertų nuomone, kompiuterių ir kitų įrenginių prijungimas prie botneto – tai vienas iš pagrindinių kibernetinių nusikaltėlių tikslų. Botnetų kilmę, schemas, kurias piktavaliai naudoja kontroliuoti kompiuterių-zombių tinklą, tiria visos saugumo kompanijos. Deja, jas tiksliai atkurti ir sučiupti sukčius, pasislėpusius už įrenginių su legaliais adresais, vis dar nepavyksta.
Kibernetinio saugumo bendrovė „Sophos“ savo tinklaraštyje „Naked Security“ įspėja, kad pagal atliktą „WordPress“ botneto tyrimą, šiuo metu piktavaliai tiesiog augina kontroliuojamų įrenginių tinklą, tačiau labiausiai tikėtini panaudojimo atvejai – tai manipuliacijos legaliais „WordPress“ serveriais juose talpinant apgaulingas (phishingo) svetaines, siunčiant nepageidaujamus elektroninius laiškus, nukreipiant į kenkėjiškus puslapius ar vykdant stambaus masto paslaugų blokavimo (angl. DDoS – Distributed Denial of Service) atakas.
Bendrovės „Sophos“ ekspertai pataria, kad pirmiausia, siekiant apsisaugoti nuo atakos, kuri „WordPress“ serverį prijungia prie botneto, reikėtų reguliariai diegti „WordPress“ atnaujinimus. Taip pat XML-RPC prievado ir administratoriaus teises turinčių paskyrų prieigą suteikti tik žinomiems IP adresams ir įrenginiams.
Tačiau svarbiausias ir pats efektyviausias būdas – tai „WordPress“ serveryje įdiegti saugių slaptažodžių sudarymo ir naudojimo politiką ir, jeigu įmanoma, dviejų lygių autentikaciją (angl. 2FA – Two Factor Authentication), kuri greta panaudoto slaptažodžio prisijungimui reikalautų papildomo kodo iš asmens išmaniajame telefone įdiegtos programėlės.
