Na weby několika různých českých služeb se podle Národního úřadu pro kybernetickou a informační bezpečnost zaměřili hackeři s útoky, které mají za cíl je zahltit a vyřadit tak z provozu – takzvané DDoS. Úřad před nimi varoval prostřednictvím svého twitterového účtu, dopady jsou prý ale zatím minimální.
Jako jedny z prvních ráno hlásily problémy České dráhy. Ty od úterka řeší problém s výpadky mobilní aplikace Můj vlak. Ráno nefungoval ani online nákup jízdenek a problémy se objevily i při vyhledávání spojů. Problém mají také některá tuzemská letiště. Od úterního večera je cílem kyberútoku také portál veřejné správy. Ministerstvo vnitra proto udělalo odstávku webu a posiluje jeho bezpečnost.
Detaily o útocích NÚKIB nezveřejnil, situaci prý ještě vyhodnocuje. Úřad v souvislosti s útoky také odkázal na dřívější varování před kyberútoky v souvislosti s děním na Ukrajině.
„Informace, které máme k dispozici, vedou k důvodné obavě z reálné hrozby kyberšpionáže a kybernetických útoků na významné cíle v České republice, především na strategické instituce veřejné správy, prvky kritické informační infrastruktury, informační systémy základních služeb či média,“ uvedl tehdy v tiskové zprávě ředitel NÚKIB Karel Řehka.
„Za ESET mohu potvrdit zjištění NÚKIB, neboť rovněž evidujeme více webových služeb, které na základě našich dat a zjištění prokazatelně čelí DDoS útoku. O případných dalších kyberútočných aktivitách, sledujících jiné cíle než jen znepřístupnění konkrétních webových služeb, v tuto chvíli nemáme informace, avšak situaci monitorujeme,“ říká Miroslav Dvořák, technický ředitel bezpečnostní společnosti ESET.
„Na základě aktuálního stavu vyšetřování nemůžeme v tuto chvíli potvrdit ani vyvrátit účast skupiny Killnet na útoku,“ dodává Dvořák. Právě tato organizace se totiž k útokům na Česko přihlásila, ale ve svém prohlášení jmenovala i cíle, které žádné problémy nehlásí, jako třeba operátora O2 nebo Komerční banku.
Pro kontext doplňme, že Killnet představuje proruskou hackerskou skupinu, která se chlubí řadou DDoS útoků proti nepřátelům Ruska. Skupina také nedávno spustila službu KillNet Botnet DDoS.
„DDoS obecně představuje z pohledu jeho provedení spíše primitivnější způsob útoku, který může dočasně vyřadit webovou službu, popřípadě stránky, nebo je alespoň podstatně omezit. Oproti aktivitám, které jsme detekovali na Ukrajině v posledních týdnech, se ale nejedná o nijak destruktivní formu útoku, alespoň ne, pokud jde o data,“ říká Dvořák.
Zrada DDoS útoků ale může spočívat v něčem jiném, mohou s relativně nízkými náklady dočasně vyřadit důležité služby a tím způsobit například velké ztráty komerčnímu subjektu, nebo mohou posloužit jako odvedení pozornosti.
„Když zahltíte firemní IT oddělení řešením banálního DDoS útoku, bude organizace v daný okamžik zároveň mnohem zranitelnější jinými typy hrozeb,“ vysvětluje Tomáš Růžička z izraelské bezpečnostní společnosti Check Point Software Technologies.
„Česká republika čelí v posledních měsících velmi nadprůměrnému počtu kyberútoků. Výrazný skok jsme zaznamenali právě v souvislosti s válkou, a zatímco jedna evropská organizace čelí nyní průměrně 1100 kyberútokům týdně, počet útoků na jednu českou organizaci je za stejné období, tedy jeden týden, v průměru 1800 útoků. Česko je v tomto ohledu dlouhodobě nad evropským průměrem, ale s válkou se rozdíl ještě prohloubil,“ doplňuje.
„Od začátku války čelí v průměru čtvrtina českých organizací každý týden nějakému DDoS útoku. Přibližně u 12 procent takto postižených organizací byly zdrojem ruské IP adresy, nejedná se ale o nijak dramatický nárůst v porovnání s obdobím před válkou. Na českém internetu DDoS útokem snadno shodíte prakticky kohokoli a jediná účinná ochrana je mezi sebe a útočníka postavit účinné, typicky cloudové, řešení pro absorpci útoků,“ dodává.
„Pro útočníky se jedná o ,levné‘ útoky, neboť nemusí nic investovat do zjišťování stavu ochrany na straně oběti. Jednoduše využijí dříve infikované a porobené počítače nebo třeba IP kamery či routery a na zvolený cíl zaútočí hrubou silou. Jistě není překvapením, že intenzita těchto útoků zesílila od konce února a některé dosahují značné intenzity,“ dodává Michal Hebeda, Sales Engineer ZEBRA SYSTEMS zodpovědný za americký systém Cloudflare, který se na eliminaci DDoS útoků specializuje.
A i on upozorňuje, že DDoS útok může být jen část problému. „Vedle odstavení služeb hrozí také druhotné nebezpečí, neboť přetížené systémy jsou výrazně náchylnější k dalším útokům. Chránit se před těmito útoky lze, je však potřeba zvolit kvalitního poskytovatele ochrany,“ říká.
„Tím může být poskytovatel připojení nebo cloudová služba s dostatečnou kapacitou na absorpci všech útočných požadavků. Ochrana až na místě, jako je například firewall, nevyřeší přetížení a kolaps internetové konektivity,“ dodává.
„Ochrana proti tomuto typu útoku je komplexnější záležitostí a zároveň je ze strany organizací často podceňovaná, proto jej útočníci často využívají,“ doplňuje jej Dvořák.
