Proruští hackeři útočili na české prezidentské volby. Důvodem byla údajná rusofobie prezidentských kandidátů

Výzkumníci z Avast Threat Labs analyzovali skupinu hackerů – dobrovolníků, která útočí na weby bank, vzdělávacích institucí, přepravních společností a dalších organizací v Polsku, Lotyšsku a Litvě. Skupina s názvem DDosia spadá pod již známé hackery z proruské organizace NoName(057)16, kteří prostřednictvím DDoS útoků napadali weby ze zemí podporujících Ukrajinu.

Útoky zprostředkovávala organizovaná hackerská skupina 

DDosia pravděpodobně vznikla jako záložní plán v době, kdy skupina NoName(057)16 využívala botnet Bobik. Má zhruba 1000 členů, kteří spolu komunikují na platformě Telegram. Za úspěšný DDoS útok si mohou vydělat až 80 000 ruských rublů (přibližně 25 000 korun) v kryptoměnách. Skupina dosud provedla přibližně 1400 útoků, přičemž úspěšných bylo pouze 190, nejvíce v listopadu loňského roku. Členové se při útocích obvykle připojují pomocí VPN přes servery mimo Rusko nebo Bělorusko, protože provoz z těchto dvou zemí je často v cílových zemích blokován.

„Již od začátku války na Ukrajině kolovaly na sociálních sítích výzvy, aby lidé podporovali Ukrajinu jako hacktivisté a stáhli si DDoS nástroje k útokům na ruské stránky. Dnes se k DDoS skupinám lidé připojují z jiných důvodů. Po celé Evropě můžeme vidět finanční dopady ruské války. Pro někoho tak může být lákavé vydělat si peníze navíc. Někteří uživatelé ze zemí, jako je Kanada a Německo, se chtěli připojit k hackerské skupině NoName(057)16 a pokusili se stáhnout spustitelný soubor DDoSia, jehož prostřednictvím by mohli provádět DDoS útoky. Tento soubor je dostupný pouze ověřeným členům příslušné skupiny na Telegramu a někteří uživatelé Avastu jej aktivně zařadili na seznam výjimek v antiviru. Ten tak soubor neoznačí jako malware a lze jej tudíž spustit.

I bez větších technických znalostí si za každý úspěšný DDoS útok mohou členové hackerské skupiny přijít až na 80 000 ruských rublů, tedy 25 000 korun v kryptoměnách. Motivace se tak mění z politické na finanční. Skupina NoName(057)16 používá tuto finanční pobídku, aby zvýšila svou úspěšnost a vybudovala si tak jméno v hackerské komunitě. Politická motivace může pro mnohé hrát pouze druhotnou roli, jak u vedoucích projektů tak i mezi hackery – dobrovolníky. 

Ačkoli může mnoho lidí lákat zapojit se do podobných kyberzločineckých skupin a přivydělat si, stále jde o kyberútok se všemi jeho důsledky, včetně těch trestněprávních. To by si měl každý uvědomit”, uvedl Martin Chlumecký, analytik malwaru z Avast Threat Labs ve společnosti Gen.

Cílem útoků se staly také webové stránky prezidentských kandidátů

 Skupina NoName(057)16 zaútočila během prvního volebního dne (13. ledna 2023) a mezi napadenými weby se objevily mimo jiné např. stránky prezidentských kandidátů Petra Pavla a Tomáše Zimy, web Ministerstva zahraničních věcí a další weby státních institucí. Podle komunikace hackerské skupiny NoName(057)16 na Telegramu je motivací k útokům především rusofobie prezidentských kandidátů.

Seznam napadených webů 13.1. 2023:

• mzv.cz
• sz-home.mzv.cz
• programydovoleb.cz
• hlidacstatu.cz
• cz
• generalpavel.cz
• hlidacstatu.cz

Terčem kyberútoků byl od čtvrtka také web Ministerstva zahraničí ČR. Nebyly ale úspěšné a neměly dopad na bezpečnost dat, uvedla mluvčí úřadu Mariana Wernerová.

Během druhého volebního dne (14. ledna 2023) se mezi napadenými doménami objevily další instituce, jako např. Český statistický úřad (ČSÚ) nebo Volby.cz.

Seznam napadených domén k 14.1. 2023:

• czso.cz
• volby.cz
• hlidacstatu.cz

Český statistický úřad závažný útok popřel

ČSÚ však v návaznosti na upozornění od společnosti Avast jakýkoliv závažný kybernetický útok popřel. Jejich webové stránky nicméně zaznamenaly zvýšený počet přístupů, a proto došlo z preventivního důvodu omezení návštěvnosti ze zahraničí. ČSÚ bezpečnost svých webů průběžně zajišťuje ve spolupráci s dodavateli a situaci v kyberprostoru pečlivě monitoruje. “V případě potřeby jsme připraveni přijmout další nezbytná opatření,” ujistil mluvčí ČSÚ, Jan Cieslar.

V souvislosti s prezidentskými volbami ČSÚ tento týden uvedl, že prezentace volebních výsledků a zpracování výsledků voleb jsou dva naprosto oddělené procesy. Případná nedostupnost webu volby.cz neovlivní volební proces, ani zpracování výsledků hlasování.

“Český statistický úřad zasílá výsledky voleb po zvláštní vyhrazené lince také médiím, která se k této službě předem přihlásila. V případě výpadku prezentačního webu volby.cz, ať již z důvodu technické závady či zlého úmyslu, mohou uživatelé získávat průběžné informace prostřednictvím televize, rozhlasu a zpravodajských serverů,” uvedla místopředsedkyně ČSÚ Eva Krumpová.

---

Chcete si přečíst více o tom, jak probíhá DDoS útok? Zkuste náš vysvětlující článek ZDE.

Michael Fanta, redakce Cyberblog

Zdroj: Avast, ČTK

Foto: Unsplash