- Ruská skupina opět útočí na české weby, ušetřeny nezůstaly ani stránky prezidentských kandidátů
- Útočníci spolu komunikují skrze aplikaci Telegram, ruský kanál zde má přes 20 tisíc členů
Ruská hacktivistická skupina NoName057(16) opět úřaduje – snaží se ohrožovat české prezidentské volby. Její vznik (březen 2022) pravděpodobně souvisí s východoevropským válečným konfliktem, jelikož se primárně zaměřuje na ukrajinské a proukrajinské organizace, podniky a vlády, přičemž její cíle se mění v závislosti na geopolitickém vývoji.
V posledních měsících se skupina zaměřovala na různé země Evropské unie, které veřejně podpořily Ukrajinu, mimo jiné na Polsko, Litvu, Lotyšsko, Slovensko, Norsko, Finsko, Německo, Španělsko a Dánsko. Kromě toho skupina podnikla výpady na konkrétní cíle v USA a ve Spojeném království, stojí v upozornění bezpečnostní společnosti Check Point, která celou situaci průběžně monitoruje.
„V následujících dnech můžeme očekávat další útoky na Českou republiku, s blížícím se termínem druhého kola prezidentských voleb se budou pravděpodobně ještě stupňovat. Skupina NoName057(16) dokonce finančně motivuje své příznivce a nejaktivnějším útočníkům rozdává odměny. Vidíme zejména útoky na české webové stránky, ale kromě vládních webů se nyní kyberzločinci zaměřují také na významné společnosti ve výrobním sektoru,“ říká Miloslav Lujka, Country Manager Czech Republic, Slovakia & Hungary z kyberbezpečnostní společnosti Check Point Software Technologies.
NoName057(16) používá zejména klasickou metodu DDoS. Podařilo se jí způsobit dočasnou nedostupnost webových stránek nejvýznamnějších cílů v soukromém sektoru, jako jsou banky a další finanční instituce. V srpnu 2022 se také povedlo odstavit webové stránky finského parlamentu, následně útočníci shodili webové stránky řeckého ministerstva obrany nebo chorvatského ministerstva obrany a mnoho dalších institucí.
11. ledna letošního roku začala skupina napadat webové stránky související s českými prezidentskými volbami. Na Telegramu uvedla, že důvodem je očekávaný výcvik 4 tisíc ukrajinských vojáků ve vojenském cvičišti Libavá v České republice, a proto se rozhodla „zúčastnit“ českých voleb.
Ke zrychlení útoků pak došlo hned následující den 12. ledna, kdy odstavila webové stránky neziskové organizace, která prezentovala volební programy všech kandidátů, weby organizace Hlídač státu, Českého statistického úřadu a Ministerstva zahraničních věcí.
Útok na stránky prezidentských kandidátů
13. ledna, tedy v den prvního kola prezidentských voleb, skupina pokračovala v útocích na klíčové webové stránky, a to včetně stránek kandidátů generála Petra Pavla a Tomáše Zimy, a také na stránky organizace Hlídač státu a Ministerstva zahraničních věcí. Jeden z kandidátů, Tomáš Zima, podle vlastních slov kvůli DDoS útoku nemohl na webové stránce veřejně prezentovat své zprávy o financování kampaně, jak mu ukládá zákon.
Ruští hackeři asi nechtějí, aby se v klíčový den na moje stránky dostali voliči. Vy ale už máte dost informací, že jo? 😉 pic.twitter.com/ZYaILn9uOF
— Petr Pavel (@prezidentpavel) January 13, 2023
V prvním kole prezidentských voleb proběhlém 14. a 15. ledna pokračovaly útoky na Český statistický úřad, který zodpovídá za sčítání a zveřejňování výsledků voleb, a také znovu na webové stránky organizace Hlídač státu. Od 16. ledna až do současnosti skupina pokračuje v útocích, nyní se však více zaměřuje na významné společnosti ve výrobním sektoru.
Není to poprvé, co NoName057(16) nebo jiné hacktivistické skupiny napojené na Rusko takto vytrvale útočí na konkrétní země. Je to však poprvé, kdy se úspěšně pokusily narušit dostupnost klíčových webových stránek během demokratických voleb.
Útoky hacktivistů napojených na Rusko byly v souvislosti s volbami sice zaznamenány v říjnu 2022, kdy se Killnet pokusil před volbami zaútočit na cíle v USA, a během listopadu, kdy se ruská hacktivistická skupina The People’s Cyber Army zaměřila na webové stránky americké Demokratické strany, avšak tyto útoky byly mnohem slabší, než aktuálně vidíme. Většina jich totiž nezpůsobila žádné narušení dostupnosti stránek – na rozdíl od poměrně vysoké úspěšnosti útoků v České republice.
NoName057(16) komunikuje primárně prostřednictvím Telegramu. Má hlavní ruskojazyčný kanál s téměř 20 tisíci členy, kanál v angličtině a skupinu dobrovolníků nazvanou DDosia Projects. Ten zahrnuje pouze 1 427 členů, ale je velmi aktivní. Má čtyři dílčí kanály, přičemž jeden z nich se věnuje výběru cílů pro DDoS útoky. Aktivity jsou monitorovány, protože NoName057(16) nabízí dobrovolníkům peněžní odměny, které začínají na 20 000 rublech (6 500 Kč) a končí na 80 000 rublech (přibližně 25 tisíc Kč).
