Das FBI hat den Versuch unternommen, Betreiber von WordPress-Sites mit einem Hinweis auf Hacker der Terrorgruppe Islamischer Staat (abgekürzt IS, ISIS oder ISIL) zu Updates zu motivieren. Es fasst eine Reihe im März für die Verbreitung von Propaganda gehackter Sites zusammen, darunter solche von Regierungen, aber auch von europäischen wie amerikanischen Firmen.
Der US-Bundespolizeibehörde zufolge handelte es sich bei den Angreifern jeweils um Sympathisanten der Terrorgruppe, die keine eigentlichen Mitglieder seien. „Diese Individuen sind Hacker, die recht simple Methoden nutzen, um technische Schwachstellen anzugreifen, und die durch Verwendung des Namens ISIL für mehr Aufregung sorgen wollen, als die Angriffe sonst bekommen würden. Die gewählten Methoden lassen vermuten, dass die Websites nicht nach Namen oder Geschäftsfeld ausgewählt wurden.“
Gemeinsam war den Opfer-Websites nur der Einsatz bestimmter anfälliger Plug-ins, die mit leicht verfügbaren Werkzeugen ausgehebelt werden können, um die Kontrolle über die Site zu bekommen. Die Namen der betroffenen Plug-ins nannte das FBI nicht, erklärte aber, Updates für die jeweiligen Schwachstellen seien verfügbar.
Veraltete WordPress-Plug-ins sind ein bewährter Angriffsvektor für Websites. Der Sicherheitsfirma Sucuri zufolge gehören RevSlider, GravityForms, FancyBox, Wp Symposium und Mailpoet zu den am häufigsten attackierten. Beispielsweise gelang 2014 ein Angriff namens SoakSoak auf 100.000 Websites mit veraltetem Revslider-Plug-in, der Google dazu veranlasste, über 11.000 Domains zu sperren.
Was die ISIS-Angriffe betrifft, bestätigt Sucuri-Gründer Daniel Cid die Angaben des FBI: „Die genutzten Schwachstellen scheinen von älteren Versionen der Plug-ins zu stammen, die noch gepatcht werden müssen. Uns sind keine neuen Schwachstellen in diesen Plug-ins bekannt.“ Anders gesagt, die Angriffe hätten leicht durch Updates verhindert werden können.
Betroffen waren laut FBI Nachrichtensites, Händler, religöse Gruppen und Behörden jeder Ebene. Solche Vorkommnisse seien zwar eher ein Ärgernis als eine echte Bedrohung, die Wiederherstellung betroffener Sites sei aber aufwändig und könne speziell Händlern zusätzlich Umsatzverluste bringen.
Dass solchermaßen befallene Sites auch bösartig eingesetzt werden können, hat kürzlich eine andere Kampagne gezeigt. Sie sorgte dafür, dass die betroffenen Sites auf eine geklonte Version von The Pirate Bay verwiesen, die mit einem Exploit-Kit versuchte, Onlinebanking-Malware zu installieren.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…