Een botnet van 25.000 Windowscomputers dat sinds eind mei actief is heeft de afgelopen maanden middels 'bruut geweld' de wachtwoorden van meer dan 6.000 websites weten te raden. Beveiligingsbedrijf Arbor noemt de campagne die via het botnet wordt uitgevoerd 'Fort Disco'. Tijdens onderzoek naar de campagne werden zes Command & Control (C&C)-servers ontdekt, die bij elkaar ruim 25.000 besmette Windowscomputers aansturen.

Via de geïnfecteerde computers werden middels brute force-aanvallen de inloggegevens van meer dan 6.000 Joomla, WordPress en Datalife Engine installaties achterhaald. De campagne wordt Fort Disco genoemd vanwege een string die op een van de C&C-servers werd aangetroffen.

De server bleek per ongeluk logbestanden van de gehele campagne bij te houden, die voor iedereen via het internet toegankelijk waren. De server stuurt naar de besmette computers een lijst met websites die moeten worden aangevallen. Tevens wordt er een lijst met wachtwoorden meegestuurd die de computers moeten proberen.

Wachtwoorden

De lijst bestaat uit 150 tot 1000 wachtwoorden. In veel gevallen wisten de aanvallers via zeer zwakke wachtwoorden zoals 'admin', '123456', '123123', '12345', 'domeinnaam' en 'pass' binnen te komen. Het is echter onbekend wat het doel van de campagne is.

Op sommige gehackte websites werd een eenvoudige PHP-gebaseerde redirector aangetroffen, die Windowsgebruikers met Internet Explorer, Firefox en Opera naar een andere website doorstuurt. Daarnaast werd er een WordPress-plug-in geïnstalleerd om berichten van een Tumblr-blog te importeren.

Blogs en contentmanagementsystemen worden meestal gehost in datacentra met gigantische bandbreedte. Door meerdere sites te hacken krijgt de aanvaller toegang tot deze gecombineerde bandbreedte", zegt onderzoeker Matthew Bing.