Národní bezpečnostní tým pro koordinaci řešení incidentů v počítačových sítích CSIRT.CZ získal bližší informace o možném zdroji aktuálních kybernetických útoků. Z bezpečnostních důvodů však svá zjištění nemůže zveřejnit.
Po pondělním napadení českých zpravodajských webů a úterních výpadcích vyhledávače Seznam.cz ve středu ráno následovaly útoky na internetové bankovnictví a stránky českých bank.
Národní bezpečnostní úřad (NBÚ) žádá o spolupráci subjekty, jejichž web napadli v posledních dnech hackeři. Úřad informace zanalyzuje a případně pomůže při řešení.
"Žádáme tímto o průběžné informování a aktivní spolupráci s výše uvedenými technickými týmy ze strany dotčených subjektů. Poskytnuté informace podrobíme analýze a případně budeme nápomocni při řešení problémů," sdělil ředitel NBÚ Dušan Navrátil.
"S informacemi zatím pracujeme pouze na úrovni bezpečnostních týmů," řekli pracovníci CSIRT.CZ s tím, že správci postižených služeb a poskytovatelé připojení zatím situaci zvládají.
"A to v tom smyslu, že situaci analyzují a hledají funkční řešení obrany," uvedli lidé z týmu CSIRT.CZ, který na řešení problému s napadenými soukromými subjekty spolupracuje.
Aktuálně je mimo jiné v kontaktu se správci sítí zpravodajského webu IHNED.cz, poskytovatele služeb v oblasti hostingu a domén Active 24, bankou ČSOB či vyhledávače Seznam.cz.
Podle ředitele Active 24 Petra Šmídy je aktuální vlna počítačových útoků výjimečná tím, že zatím není zřejmý její motiv.
Označení DDoS pochází z angličtiny - Distributed Denial of Service. Útočníci vyšlou na vybrané servery, které chtějí napadnout, za pomoci sítě zapojených počítačů tak velké množství požadavků, že napadené servery přestanou jejich odbavování stíhat. Jedním z důsledků je, že nedokážou zobrazit webové stránky. Majitelé počítačů ani nemusí vědět, že na nějaký server útočí. Často je totiž podobný útok založen na napadení a infikování cizích počítačů pomocí viru - malwaru. Ten má v sobě zakódovaný přesný čas a IP adresu oběti, na který potom zaútočí.
"Každopádně víme, že za poslední roky intenzita podobných útoků stoupá a obrácení trendu nic nenasvědčuje," řekl Šmída s tím, že v souvislosti s motivem se mimo jiné může spekulovat o snaze zvýšit zájem o sofistikovaná a velmi drahá "anti-DDoS" řešení.
Právě s DDoS útoky, které uměle vyvolají přetížení sítě, kvůli němuž služba krátkodobě vypadává nebo se déle načítá, se čerstvě napadené subjekty setkaly.
Kdo škodí a proč?
Podle šéfredaktora serveru Lupa.cz Davida Slížka v podstatě nejsou schopné napáchat nějaké reálné škody s výjimkou toho, že napadený web může být dočasně nedostupný. "V zahraničí se tak množí podobné útoky s cílem poškodit konkurenci nebo žádat po firmách výpalné za to, že jejich weby nebudou DDoS útokem blokovány," řekl Slížek.
Počítačové útoky z tohoto týdne by se mohly dočkat další vlny. "Zcela určitě nelze tvrdit, že se útoky nebudou opakovat," řekl Šmída.
Novinář Patrick Zandl řekl, že pokud útok bude ve středu pokračovat na státní správu nebo telekomunikační operátory, možný motiv by mohl souviset s nespokojeností s danými institucemi. Stávající výběr cílů pak podle Slížka napovídá, že organizátoři útoků musí mít jisté povědomí o trhu v České republice.
Komplikované šetření incidentů
Použité adresy počítačů, ze kterých útoky pocházely, byly podle Šmídy z celého světa. Zjistitelné IP adresy byly ale s velkou pravděpodobností podvržené nebo zneužité.
"Skutečným zdrojem útoku je místo, odkud byl ovládán botnet. K tomu by bylo nutné dopátrat se počítačů zapojených v tomto botnetu a zjistit, kdo je ovládal, jak a odkud," vysvětlil Šmída s tím, že cesta k tomu je velmi komplikovaná a vyžaduje koordinace velkého množství organizací.
"Tuto oblast hodnotíme dlouhodobě jako velmi rizikovou a přesně proto spolupracujeme s národním týmem CSIRT.CZ," uzavřel Šmíd.
Webové útoky v Česku
30. září 2008 - DDoS útok, při kterém byly servery zahlceny velkým množstvím dotazů a nefungovaly, postihl zpravodajské weby Blesk.cz a DenikSport.cz, které patří vydavatelství Ringier.
29. května 2011 - Hacker napadl den před zahájením písemné části státních maturit internetové stránky s ukázkovými testy a informacemi o zkoušce. Nefungovaly ani stránky organizace Cermat, která maturity zajišťuje. Útočníci nahráli na web vlastní obsah.
Leden a únor 2012 - Během schvalování kontroverzní dohody proti padělatelství ACTA napadli lidé, hlásící se k hnutí Anonymous, celou řadu českých webů. Terčem útoku byly internetové stránky autorských organizací (Ochranného svazu autorského, Mezinárodní federace hudebního průmyslu IFPI či Intergramu), ale i web ODS nebo stránky Poslanecké sněmovny a vlády. Intenzita a druh útoků byly různé, vedle zahlcení serverů se hackerů podařilo například získat osobní data tisíců členů ODS.
14. října 2012 - Internetovou stránku brněnských komunistů napadli hackeři z hnutí Anonymous. Téměř na den na ně umístili nápis, podle něhož jsou voliči KSČM "omezení idioti". Web pozměnili po krajských volbách, a to v reakci na úspěch komunistů, jehož v nich dosáhli.
16. listopadu 2012 - Hackeři získali databázi z webu exekutorské komory a data umístili na internetu. Skupina Czechurity na svém webu uvedla, že zabavili databázi, neboť exekutoři zabavují majetek občanům. Web komory byl na krátkou dobu po oznámení útoku mimo provoz.
Březen 2013 - Od pondělí 4. března napadli neznámí útočníci pomocí DDoS útoku, kdy zahltili servery obrovským množstvím požadavků, nejprve velké české zpravodajské weby včetně IHNED.cz. V úterý 5. března byl terčem útoku také portál Seznam.cz i další stránky. Ve středu 6. března pak byly napadeny webové stránky českých bank včetně internetového bankovnictví.
Podrobnosti o masivním digitálním útoku na české zpravodajské servery najdete ve středečních Hospodářských novinách.
