คนร้ายใช้ WordPress กว่า 20,000 แห่งเป็นฐานขยายวงการโจมตีเว็บไซต์อื่น

Defiant บริษัทที่ทำด้านความมั่นคงปลอดภัยบน WordPress ได้พบการโจมตีผ่านผลิตภัณฑ์ของตนที่ชื่อ Wordfence ที่ช่วยป้องกันเรื่อง Brute-force และทำ IP Blacklist ซึ่งได้มีการบล็อก Authentication Request จากเครื่องของแฮ็กเกอร์ไปกว่า 5 ล้านครั้ง เมื่อสืบทราบจึงพบว่าคนร้ายได้ใช้กลุ่ม Botnet จากเว็บไซต์ WordPress กว่า 2 หมื่นแห่งเพื่อขยายการโจมตีแบบ Brute-force ไปยังเว็บไซต์ WordPress อื่น

แฮ็กเกอร์จะเล็ง WordPress ที่ใช้ XML-RPC หรือส่วนที่ช่วยให้ผู้ใช้สามารถโพสต์ Content ได้จากทางไกลโดยผ่านทาง WordPress หรือ APIs อื่นซึ่งมีไฟล์ที่ใช้ติดตั้งชื่อ xmlrpc.php วางอยู่ในไดเรกทอรี่ Root ของ WordPress โดย XML-RPC มีปัญหาระดับโครงสร้างคือไม่ได้มีการทำ Rate limit จำนวนครั้งของการ Request ผ่าน API เอาไว้จึงสบโอกาสให้แฮ็กเกอร์ใช้วิธีการ Brute-force และจะไม่มีใครรู้เลยหากไม่ทำการตรวจสอบ Log

Defiant ได้ศึกษาในเชิงลึกจนเข้าใจโครงสร้างแนวทางของคนร้ายว่ามีการใช้ Server 4 ตัวคอยสั่งการผ่าน Proxy จากรัสเซียชื่อ Best.Proxies.ru ที่มีจำนวนกว่า 14,000 ตัวเพื่ออำพรางตัวเองเชื่อมต่อกับฝูง WordPress Botnet ที่ควบคุมอยู่ (สามารถดูรูปได้ตามด้านบน) โดย Defiant กล่าวว่า “User-Agent String จาก Request ที่พบมักใช้ในแอปพลิเคชันที่คุยกับ XML-RPC อย่างเช่น wp-iphone หรือ wp-android” และเสริมว่า “แอปพลิเคชันเหล่านั้นน่าจะมี Credentials เก็บอยู่บนเครื่องดังนั้นเราเลยเริ่มเอ่ะใจว่าทำไมถึงมีการล็อกอินผิดพลาดมากขนาดนั้นจึงตามรอยไปและพบต้นตอของการโจมตี“

โดย Defiant ได้สืบเสาะไปจนรู้ถึงสคิร์ปต์ที่ใช้ในการ Brute-force ว่าจะมีการรับอินพุตน์จาก Server ควบคุมเป็น POST เข้ามาเพื่อบอกว่าจะให้โจมตีโดเมนไหนซึ่งทำให้ได้เบาะแสสาวไปถึงหนึ่งใน Server ควบคุมและพบคำสั่งต่างๆ ที่ส่งมาควบคุม รวมถึงกลุ่ม Server ส่วนหนึ่งที่เป็นเหยื่อของการปฏิบัติการครั้งนี้ ซึ่ง Defiant ได้แจ้งเรื่องกับทางผู้เกี่ยวข้องและแจ้งเตือนเว็บที่ตกเป็นเหยื่อด้วย สำหรับการป้องกันผู้ดูแลก็สามารถติดตั้งปลั้กอินที่สามารถจำกัดความพยายามล็อกอินที่มากเกินไปได้