Η σκοτεινή πλευρά του blockchain: 14.000 ιστότοποι WordPress μολυσμένοι με EtherHiding

Σε μια από τις πιο πρωτοφανείς επιθέσεις που έχουν καταγραφεί μέχρι σήμερα, περισσότεροι από 14.000 ιστότοποι WordPress έχουν χακαριστεί και χρησιμοποιούνται ως οχήματα για τη διασπορά κακόβουλου λογισμικού, σύμφωνα με αναφορά της ομάδας Google Threat Intelligence Group (GTIG). Ο νέος απειλητικός παράγοντας, με την κωδική ονομασία UNC5142, έχει αναπτύξει μια ιδιαίτερα έξυπνη και επικίνδυνη τεχνική που αξιοποιεί την τεχνολογία blockchain για κακόβουλους σκοπούς — κάτι σχεδόν αδιανόητο μέχρι πρόσφατα.

Το WordPress, το πιο δημοφιλές σύστημα διαχείρισης περιεχομένου παγκοσμίως, φιλοξενεί πάνω από το 43% των ιστοσελίδων στο διαδίκτυο. Αυτή ακριβώς η τεράστια παρουσία του το καθιστά εύκολο και ελκυστικό στόχο για κυβερνοεγκληματίες. Σύμφωνα με το GTIG, η ομάδα UNC5142 εντοπίζει ιστοσελίδες με αδύνατα σημεία, συνήθως μέσω ελαττωματικών θεμάτων, προσθηκών (plugins) ή βάσεων δεδομένων. Μόλις εντοπιστεί μια ευάλωτη πλατφόρμα, εγκαθίσταται ένα σύστημα με την ονομασία CLEARSHORT, ένας “πολυεπίπεδος” JavaScript downloader που χρησιμεύει ως φορέας για τη διάδοση του κακόβουλου φορτίου.

Εκεί όμως αρχίζει το πραγματικά καινοτόμο και ανησυχητικό κομμάτι της υπόθεσης: η εισαγωγή της τεχνικής EtherHiding. Αυτή η μέθοδος, που πρώτη φορά εμφανίζεται σε τέτοια κλίμακα, αξιοποιεί ένα δημόσιο blockchain — στη συγκεκριμένη περίπτωση το BNB Smart Chain — για να φιλοξενήσει και να αποκρύψει το κακόβουλο περιεχόμενο. Το blockchain, χάρη στην αποκεντρωμένη και αμετάβλητη φύση του, αποτελεί ιδανικό “καταφύγιο” για κακόβουλο κώδικα, καθώς καθιστά σχεδόν αδύνατη τη διακοπή της διασποράς του.

Η τεχνική λειτουργεί ως εξής: οι χάκερ δημοσιεύουν έξυπνα συμβόλαια (smart contracts) που περιέχουν τον κακόβουλο κώδικα και στη συνέχεια αυτά καλούν συγκεκριμένες σελίδες με τη μορφή “CLEARSHORT landing pages”. Οι σελίδες αυτές, οι οποίες συχνά φιλοξενούνται σε πλατφόρμες όπως η Cloudflare, χρησιμοποιούν μια απατηλή τεχνική κοινωνικής μηχανικής, την οποία οι ερευνητές αποκαλούν ClickFix. Μέσω παραπλανητικών οδηγιών, οι επισκέπτες των μολυσμένων ιστοσελίδων πείθονται να εκτελέσουν επικίνδυνες εντολές στο σύστημά τους, είτε μέσω του Windows Run dialog είτε του Terminal στα Mac, ανοίγοντας έτσι την πόρτα για πλήρη παραβίαση των δεδομένων τους.

Η χρησιμοποίηση του blockchain για τη φιλοξενία και την απόκρυψη κακόβουλου περιεχομένου θεωρείται “πρωτοφανής καμπή” στον τομέα της κυβερνοασφάλειας. Όπως αναφέρουν ειδικοί, αυτή η νέα τακτική καθιστά σχεδόν αδύνατη την πλήρη εξάλειψη της απειλής, αφού ο κακόβουλος κώδικας δεν βρίσκεται πλέον σε servers που μπορούν να “κατεβούν” ή να μπλοκαριστούν, αλλά αποθηκεύεται σε μια δημόσια, μη επεμβατική αλυσίδα δεδομένων.

Η Google καλεί τους διαχειριστές ιστοσελίδων να ενημερώνουν εγκαίρως τα θέματα και τα plugins του WordPress, να χρησιμοποιούν ισχυρή προστασία πολλαπλών επιπέδων και να παρακολουθούν συστηματικά τα logs ασφαλείας τους. Η υπόθεση δείχνει ξεκάθαρα ότι οι κυβερνοεγκληματίες έχουν αρχίσει να συνδυάζουν τεχνολογίες του μέλλοντος με γνωστές τεχνικές εξαπάτησης για να παραπλανούν ακόμη και τους πιο έμπειρους χρήστες.

Σε έναν κόσμο όπου το blockchain έχει συνδεθεί με την αποκέντρωση, τη διαφάνεια και τη δημιουργία εμπιστοσύνης, η υπόθεση της UNC5142 αποκαλύπτει και την σκοτεινή πλευρά του: μια τεχνολογία που μπορεί να αποτελέσει και όπλο στα χέρια όσων επιδιώκουν την απόλυτη ανωνυμία πίσω από επιθέσεις που δεν γνωρίζουν σύνορα.