Un attacco DDoS ha preso di mira Bulatlat: proveniva da Facebook

A novembre 2021, Tord Lundström, il direttore tecnico dell’organizzazione nonprofit svedese Qurium, ha notato che un attacco DDoS (Distributed Denial of Service, un attacco informatico che impedisce a un server o sito web di funzionare correttamente) aveva preso di mira Bulatlat, un notiziario online alternativo filippino e ospitato dall’organizzazione nonprofit.

LEGGI ANCHE > Cos’è un attacco DDoS e perché se ne sta parlando così tanto in questi giorni

La ricostruzione dell’attacco a Bulatlat

Lundström e la sua squadra hanno scoperto, esaminando il traffico degli attacchi, che la maggioranza di questi proveniva dal Vietnam. Gli autori dell’attacco avevano compromesso migliaia di account Facebook, assumendone il controllo. In questo modo, l’account viene trasformato in una sorta di bot e utilizzato per inviare link mascherati per sembrare un collegamento a materiale pornografico a molti altri utenti, per esempio incollandoli nei messaggi diretti o taggando gli utenti nei post, come spiega Qurium nell’inchiesta pubblicata sul sito web. In realtà, questi link non portavano affatto a siti di materiale pornografico ma anche alle pagine di Butlatlat: in questo modo gli autori dell’attacco eseguivano allo stesso tempo un attacco di phishing e un attacco DDoS a Bulatlat.

Qurium ha scoperto che gli aggressori stavano utilizzando un bouncing domain, letteralmente un “dominio rimbalzante” per evitare che Facebook rilevasse l’attacco di phishing e bloccasse gli utenti che stavano diffondendo quei link in modo automatico. Dunque, anche se il sistema di rilevamento di Meta avesse testato il dominio, questo si sarebbe collegato a un sito web legittimo, ma se un utente normale avesse fatto clic sul link, sarebbe stato reindirizzato al sito di phishing.

«Questi siti web di phishing dannosi caricano anche contenuti da domini esterni, nel nostro caso il sito di media alternativo filippino Bulatlat.com. In questo modo, gli utenti che visitano il contenuto virale, prendono parte anche a un Distributed Denial of Service Attack (DDoS) contro Bulatlat» spiega Qurium. A seguito di questo reindirizzamento del traffico, Qurium ha bloccato per mesi un totale di 60.000 indirizzi IP al giorno e oltre il 95% del traffico era proveniente dall’interno del Vietnam.

Dopo mesi di indagini, Qurium è riuscita a identificare una società vietnamita chiamata Mac Quan Inc. che aveva registrato alcuni dei nomi di dominio per i siti di phishing. Qurium stima che il gruppo vietnamita abbia acquisito le credenziali di oltre 500.000 utenti di Facebook provenienti da più di 30 paesi utilizzando circa 100 nomi di dominio diversi. Si pensa che oltre 1 milione di account siano stati presi di mira dalla rete di bot.