Hlavní navigace

V lednu na Česko mířil zvýšený počet DDoS útoků, hodně z nich z Ruska od NoName057(16)

9. 2. 2023

Sdílet

DDosia Autor: Avast Threat Labs

Letos v lednu oproti předchozímu měsíci byl zaznamenán dvojnásobný růst kybernetických incidentů, a to podle pravidelné zprávy Národního úřadu pro kybernetickou a informační bezpečnost.

“V lednu výrazně převažovaly incidenty u povinných osob dle zákona o kybernetické bezpečnosti, přičemž převážná většina zasažených subjektů spadá do sektoru veřejné správy. Nejpočetnějším typem incidentu se staly útoky na dostupnost, v rámci kterých převažovaly DDoS útoky na webové stránky obětí,” shrnuje NÚKIB.

Pozorován byl zejména vysoký počet DDoS útoků na webové stránky. Kyberúřad se v reportu věnuje ruské hackerské skupině NoName057(16), která v průběhu ledna vedla sérii DDoSů na státní i soukromé subjekty:

Ruskojazyčná hackerská skupina NoName057(16) provedla v průběhu ledna sérii DDoS útoků, které mířily na webové stránky více než desítky státních i soukromých subjektů.

Poprvé byla tato skupina zaznamenána v březnu 2022, tedy krátce po začátku války na Ukrajině. Zpočátku se NoName057(16) zaměřovala na ukrajinské cíle, nicméně později začala cílit na subjekty napříč sektory v zemích NATO. V nedávné době se skupina zaměřila například na cíle v Rakousku, Itálii, Velké Británii, Litvě, Polsku či Dánsku. Od 11. ledna byly zaznamenány útoky skupiny na cíle v ČR.

NoName057(16) na svém telegramovém účtu zveřejňuje příspěvky podporující Rusko a odsuzuje rusofobní nepřátele, jak označuje i některé své cíle. Této orientaci odpovídá také výběr cílů, který má v řadě případů zřetelnou politickou motivaci. Skupina provádí primárně DDoS útoky na vybrané webové stránky, zejména na cíle v zemích NATO.

Zaznamenané útoky neměly závažnější dopady a vedly pouze k dočasné nedostupnosti webových stránek napadených subjektů. DDoS útoky obecně zahlcují provoz na službách přístupných z internetu, informační systémy organizací ale nekompromitují.

NoName057(16) se v určitém ohledu liší od ruskojazyčných skupin jako Killnet či Anonymous Russia. Specifická je zejména svým projektem DDosia, skrze který nabízí zájemcům peněžní odměny za provedení co nejvíce úspěšných útoků DDoS. Projekt DDosia tvoří komunita dobrovolníků, kterým NoName057(16) nabízí nástroj DDosia, skrze nějž poté provádí DDoS útoky. 

Nejproduktivnější členové pak získávají finanční odměny v kryptoměnách.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 9. 2. 2023 10:48

    WEDOS.cz

    Většina útoků byly na L7 a nebyly to nějaké hrůzostrašné DDoS útoky s cílem zahltit síť, ale čistě L7 útoky směřující ke znefuknčnění webu.

    Zprávu jsme si přečetli. Domníváme se, že zpráva NÚKIB je zcela zavádějící a nepřesná. Vycházíme z toho, co jsme zjistili a naměřili u webů našich zákazníků, kteří byli cílem útoků.

    Velmi silné útoky byly prováděné i z českých IP rozsahů a tak nějaká navrhovaná GeoIP blokace není úplně řešením.

    Jediné možné řešení je distribuovaná ochrana, která je "vložena" mezi útočníka a cílový server. Navíc důkladná online analýza datového toku a na základě pravidel je nutné provádět potřebné limitace. To odfiltruje nejproblematičtější zdroje a nejproblematičtější útok. U dalších problematických je nutné vložit reditec nebo captchu. Tím se předejde útokům ze strany robotů.

    Nevím, zda se situace úplně nezlehčuje. Na některé útoky nezabraly ani řešení renomovaných firem, protože jsme zaznamenali útoky o síle několika milionů requestů za sekundu. Na to nepomůže nasadit nějakou krabičku.
    Navíc "pokročílé" metody, kdy se v reálném stavu monitoruje síť a dynamicky upravují pravidla = někdo kouká do logu a něco tam kliká, je nesmysl. Jak chcete blokovat například přes 4 miliony útočících IP adres. Reálnýcn, ne podvržených? To než někdo nakliká, tak to bude trvat poměrně dlouho. Je nutné to mít řešené předem.
    Současně s tím jde o to, že útočníci reagují na stav velmi rychle. To jsou nižší jednotky vteřin, kdy rozjedou plný útok a jakmile jim to někdo omezí tak zareagují okamžitě. Útok zastaví a začnou útočit odjinud a jinak. Oni neplýtvají zdroji a hned útočí jinam a jinak. Musí tam být už od začátku taková pravidla, která blokují vše hned.

    K uvedené problematice máme nyní poměrně dost dat a podkladů.

  • 9. 2. 2023 9:56

    Jiří

    Ruští hackeři bojují proti Západu a přitom se jejich skupina nejmenuje rusky, ale anglicky. Nejsou oni trochu schizofrenní?

Byl pro vás článek přínosný?

Autor aktuality

Reportér Lupa.cz a E15. O technologiích píše také do zahraničních médií.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).