Kybernetickým incidentům v září dominovaly útoky proruské hackerské skupiny NoName057 (16), cílené primárně na český bankovní sektor. Vyplývá to z přehledu zářijových kyberincidentů, které vydal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
Kampaň cílená na tuzemské banky se vedle počtu incidentů podepsala i do statistiky jejich závažnosti. DDoS útoky v září tvořily téměř čtyři pětiny všech evidovaných událostí a převážná většina z nich spadá do kategorie závažých incidentů.
Celkově se počet incidentů držel nad průměrem za posledních 12 měsíců. Více než 86 % vedlo k omezení dostupnosti. Dále NÚKIB přijal oznámení o ransomwarovém útoku skupiny Monti a jeden průnik, kdy se „velmi sofistikovaným způsobem povedlo získat přístup do systémů regulovaného subjektu.“
NÚKIB ve zprávě poprvé zveřejnil podrobnosti k útoku hackerů NoName057 (16). Ty spadají pod typ HTTP GET/POST flood. Jednotliví členové do DDoS klienta nahrají konfigurační JSON soubor obsahující URL požadavek s IP adresou cíle. Tento požadavek míří na velmi specifickou URL adresu, např. náhodná záložka v tiskových zprávách, specifické nastavení půjčky v online formuláři nebo vyhledávání konkrétních bankomatů v databázi. Toho se dá využít při mitigaci, kdy se správce webu může rozhodnout o zablokování specifických požadavků nebo méně důležitých částí webu. JSON je v průměru aktualizován 2× denně, ale mění se jen cíle, nikoliv dané požadavky.
NÚKIB doporučil blokaci na základě user agenta. DDoS klient používá Go-http-agent/1.1, Go-http-agent/2 nebo prázdného user agenta (-). Toto mitigační opatření však může vést k nefunkčnosti některých služeb využívajících jazyk Go. Dalším způsobem odstínění útoku je např. geofencing nebo omezování přístupu přímo na základě počtu požadavků z konkrétní IP adresy za minutu.
ČLÁNKY DO MAILU