A equipe da Wordfence, empresa especializada na proteção de sites baseados em WordPress, identificou um ataque maciço a universidades ucranianas que coincidiu com a invasão da Ucrânia pela Rússia e resultou em pelo menos 30 sites de universidades ucranianas comprometidos. O agente por trás do ataque tem o apelido de “theMx0nday” e seria parte de um grupo chamado “Mx0nday”. Um atacante com esse apelido opera fazendo defacement (desfiguração) em sites principalmente brasileiros desde 2012. Há um handle no Twitter com o nome de theMx0nday e posts em português. O grupo declarou publicamente que apoia a Rússia segundo o Wordfence.
O ator de ameaça está sediado no Brasil, afirma o relatório. A maioria dos ataques transitou por um provedor de serviços de Internet chamado Njalla, que afirma ser “Considerado o provedor de ‘Privacidade como Serviço’ mais notório do mundo para domínios, VPSs e VPNs” . Njalla é um provedor de hospedagem com sede na Suécia e é administrado por Peter Sunde, cofundador do Pirate Bay. O servidor Njalla pelo qual o tráfego foi roteado parece estar baseado na Finlândia, com base em dados de geolocalização IP, embora Njalla afirme que seus servidores são baseados “em locais secretos na Suécia”.
Segundo o Wordfence, na maior parte do mês de fevereiro houve algumas centenas de ataques por dia em todos os sites registrados como “edu.ua” e protegidos pela empresa, que pertencem a instituições educacionais da Ucrânia: “A partir de 25 de fevereiro, vimos um pico que atingiu mais de 104.000 ataques em um único dia direcionados a esses sites acadêmicos:
- 479 ataques em 24 de fevereiro
- 37.974 ataques em 25 de fevereiro
- 104.098 ataques em 26 de fevereiro
- 67.552 ataques em 27 de fevereiro
Os principais endereços IP de ataque direcionados a sites EDU.UA durante os dois primeiros dias de invasão da Ucrânia foram:
185.193.127.179 com 169.132 ataques
159.223.64.156 com 26.074 ataques
xxxx com 10.134 ataques [Oculto por um motivo técnico]
217.77.209.242 com ataques de 1991
Foram registrados mais de 7.000 endereços IP durante esse período, mas cada um deles, exceto os quatro acima, registraram menos de 100 ataques cada. Os quatro endereços IP acima foram de longe os maiores infratores. E 185.193.127.179 registrou mais de 6 vezes o número de ataques em relação ao segundo maior infrator afirma o relatório.
Esse IP é do Njalla, provedor de hospedagem administrado por Peter Sunde, cofundador do Pirate Bay. O Njalla diz abertamente em sua página inicial que eles é “Considerado o provedor de ‘Privacidade como Serviço’ mais notório do mundo para domínios, VPS e VPNs.”
Foi determinado que o ator da ameaça está baseado no Brasil: “Eles usaram vários endereços IP para lançar um ataque a universidades ucranianas quando a invasão russa da Ucrânia começou. A maioria dos ataques foi roteada via Njalla, com sede na Suécia. Njalla afirma que seus servidores estão “em locais secretos na Suécia”, embora o nó de saída específico pareça estar na Finlândia, com base em dados de geolocalização IP. Njalla é apoiado por Peter Sunde, que é o co-fundador do The Pirate Bay e se orgulha de mascarar a identidade de seus clientes. Os ataques comprometeram pelo menos 30 sites de universidades ucranianas, listados no ZoneH, com evidências dos comprometimentos”.
Com agências de notícias internacionais
