Kdo útočil na české internetové stránky? Ruská hacktivistická skupina, která vznikla na začátku roku
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve středu ráno informoval o útoku na jedenáct webových stránek státních i soukromých institucí. K útoku se přihlásila skupina Killnet. „Objevila se teprve v lednu. Po ruské invazi na Ukrajinu se zaměřila na hacktivismus formou DDoS útoků,“ popisuje v rozhovoru pro server iROZHLAS.cz odborník na kyberbezpečnost Tomáš Flídr.
V úterý došlo k prvnímu veřejně přiznanému útoku ruské hackerské skupiny na Česko. O čem to vypovídá?
To veřejné přiznání vypovídá o projevu jakéhosi hacktivismu. Čili nějakou snahu o prosazení a demonstraci politických cílů v internetovém prostředí právě prostřednictvím kybernetických útoků.
Česko zasáhl kyberútok, vyřadil na čas jedenáct webů. ‚Zřejmě neměl zásadní dopad,‘ hodnotí odborník
Číst článek
Hacktivismus je v internetovém prostředí dlouhodobě známý a provozovaný, nejznámějším aktérem je hnutí Anonymous. Nicméně tohle jde z druhé strany, protože Anonymous se v současném konfliktu postavili na stranu Ukrajiny. Vcelku pochopitelně proto vznikla i snaha nějakým způsobem ten hacktivismus zapojit i na ruské straně. Zdá se, že právě proto vznikla skupina Killnet, která se objevila ještě před začátkem ruské invaze na Ukrajinu. A teď provozuje hacktivismus formou DDoS útoků proti protiruským cílům.
A kdy přesně ta skupina vznikla? Co o ní víme?
Skupina se objevila teprve v lednu letošního roku. Je to tedy pár měsíců stará záležitost. Zjevně ale zpočátku nebyla zaměřena k politickým cílům, protože její zakladatelé trošku zmateně avizovali, že budou spouštět takzvaný decentralizovaný „botnet“, který měl sloužit mimo jiné k bezpečnému ukládání informací. Myšleno jako zabezpečeného před orgány činnými v trestním řízení. Čili taková služba pro kyberkriminální aktéry.
Co je to „BOTNET“?
Botnet je síť tisíců nejčastěji „zotročených“ počítáčů, která je pod něčí kontrolou – třeba hackera, hackerské skupiny. Využívá se k takzvaným DDoS (Distributed Denial of Service) útokům. Na cíl útočí prakticky bez vědomí jejich skutečných majitelů. Nemusí jít pouze o počítače, ale třeba i routery a další podobná zařízení.
Poté, co začala ruská invaze na Ukrajinu, se ale skupina zaměřila právě na hacktivismus formou DDoS útoků, k čemuž jim může pomáhat právě ten botnet. Tedy síť počítačů, přes které odesílají řadu dotazů na cílové weby, zahltí jejich konektivitu a vyřadí je z provozu.
A není tedy tato hackerská skupina nijak spojená se státem – Ruskou federací? Vznikla totiž v lednu, v té době se chystalo vojenské cvičení Ruska v Bělorusku. Probíhaly už intenzivní kybernetické útoky na Ukrajinu. Nebyla tato hackerská skupina vytvořená právě pro tento konflikt?
Stručně řečeno, nic nenasvědčuje tomu, že by tento aktér byl nějak napojený na ruskou vládu. Když zhodnotíme to provedení útoku (na jedenáct českých webových stránek – pozn. red.), tak vidíme, že je docela amatérské, což svědčí o tom, že nejde o úplně profesionálního aktéra.
Tomáš Flídr
Tomáš Flídr se na Národním bezpečnostním úřadě podílel na vytváření Zákona o kybernetické bezpečnosti a regulace této oblasti v Evropské Unii a NATO. Působil jako koordinátor kybernetické bezpečnosti na ministerstvu zahraničních věcí a jako manažer oddělení Risk Advisory ve společnosti Deloitte. V současnosti pracuje jako IT Security Manager ve společnosti Memsource a.s. a provozuje web Kyberbezpečnost.cz.
Na druhou stranu je třeba říci, že v tomto směru není možné nic zcela vylučovat. Ruská federace je totiž známá tím, že využívala služeb kyberkriminálních aktérů k dosahování politických cílů. Nicméně v tomto případě ta nesofistikovanost útoku nasvědčuje tomu, že se jedná o ten hacktivismus. Můžeme samozřejmě spekulovat, jestli tímto DDoS útokem není náhodou zakryt nějaký mnohem cílenější útok dovnitř těch systémů. Ale to by zřejmě neprobíhalo na tolik cílů a nevypadá to, že by to byl tento případ.
Skupina Killnet je činná na Telegramu. Je to běžné, že hackeři komunikují právě na této sociální síti?
Telegram je v tomto ohledu docela populární, protože ačkoliv se jedná o jeden z komunikátorů, které nejsou nijak výrazně zabezpečené nebo chránící soukromí, tak je známý tím, že neposkytuje informace právě policejním orgánům ani orgánům činným v trestním řízení. Takže je poměrně populární platformou pro tento typ komunikace.
Takže je často využívaný hacktivisty.
Ano, velmi často.
Je možné na hacktivisty nějak reagovat? Když dojde třeba k nějakému útoku?
To je široce diskutovaná otázka. Mluví se třeba o takzvaném „hack back“. Tedy, že když na nás někdo zaútočí, tak bychom měli zaútočit zpátky, což vytváří faktor odstrašení. Já si myslím, že na podobný případ DDoS útoku nemá cenu plýtvat prostředky státu. Spíše je důležitější se zaměřit na prevenci vážnějších útoků, ke kterým by mohlo dojít.
A má vůbec stát nějaké možnosti ty útoky vracet?
Vracet je jedna možnost. Druhá možnost je sbírat data o tom, odkud ten útok přichází. Tedy sbírat IP adresy těch takzvaných „botů“. Případně můžeme proti tomu „botnetu“ bojovat tím, že identifikujeme jeho řídící server. Tedy místo, odkud jsou ty zotročené počítače řízeny. Takový server potom pouze vyřadíme z provozu.
Obvykle jsou ale tyto botnety vůči podobným zásahům odolné. Jsou schopné řídící servery měnit, vytvářet nové... Minimálně na nějakou dobu to ale tento botnet vyřadí nebo sníží jeho sílu, což řada institucí využívá. Třeba společnost Microsoft.
