Zajímají české prezidentské volby i někoho jiného než občany České republiky? Podle odborníků na kybernetickou bezpečnost útočí na české weby např. ruští hacktivisté ze skupiny NoName057(16). Cílem jsou i probíhající prezidentské volby.

Check Point Research upozorňuje, že ruská hacktivistická skupina NoName057(16), která je aktivní od března 2022 a jejíž vznik může souviset s válečným konfliktem, se zaměřuje na ukrajinské a proukrajinské organizace, podniky a vlády, přičemž její cíle se mění v závislosti na geopolitickém vývoji. V posledních měsících se skupina zaměřovala na různé země Evropské unie, které veřejně podpořily Ukrajinu, mimo jiné na Polsko, Litvu, Lotyšsko, Slovensko, Norsko, Finsko, Německo, Španělsko a Dánsko. Kromě toho skupina podnikla útoky na konkrétní cíle v USA a ve Spojeném království.

Hacktivisté jsou na obou stranách. Proti Rusku od začátku války aktivně bojuje např. proslulá skupina Anonymous. Foto: Unsplash

„V následujících dnech můžeme očekávat další útoky na Českou republiku, s blížícím se termínem druhého kola prezidentských voleb se budou útoky pravděpodobně ještě stupňovat. Skupina NoName057(16) dokonce finančně motivuje své příznivce a nejaktivnějším útočníkům rozdává odměny. Vidíme zejména útoky na české webové stránky, ale kromě vládních webů se nyní kyberzločinci zaměřují také na významné společnosti ve výrobním sektoru,“ říká Miloslav Lujka, Country Manager Czech Republic, Slovakia & Hungary z kyberbezpečnostní společnosti Check Point Software Technologies.

Zahlcení serverů a snaha o ovlivňování

NoName057(16) používá zejména DDoS útoky, podařilo se jí způsobit dočasnou nedostupnost webových stránek nejvýznamnějších cílů v soukromém sektoru, jako jsou banky a další finanční instituce. V srpnu 2022 se také povedlo odstavit webové stránky finského parlamentu, následně útočníci shodili webové stránky řeckého ministerstva obrany nebo chorvatského ministerstva obrany a mnoho dalších institucí.

11. ledna 2023 začala skupina útočit na webové stránky související s českými prezidentskými volbami. Na Telegramu uvedla, že důvodem útoků je očekávaný výcvik 4 000 ukrajinských vojáků ve vojenském cvičišti Libavá vČeské republice, a proto se rozhodla „zúčastnit“ českých voleb.

Prohlášení NoName057(16) o útocích na volby v České republice. Foto: Se souhlasem Check Point

Ke zrychlení útoků pak došlo hned následující den 12. ledna, kdy odstavila webové stránky neziskové organizace, která prezentovala volební programy všech kandidátů, weby organizace Hlídač státu, Českého statistického úřadu a Ministerstva zahraničních věcí.

V den voleb (13. ledna) skupina pokračovala v útocích na klíčové webové stránky, včetně stránek kandidátů generála Petra Pavla a Tomáše Zimy, a také na stránky organizace Hlídač státu a Ministerstva zahraničních věcí. Jeden z kandidátů, Tomáš Zima, prohlásil, že kvůli DDoS útoku nemohl na webové stránce veřejně prezentovat své zprávy o financování kampaně, jak mu ukládá zákon.

Ruští hackeři asi nechtějí, aby se v klíčový den na moje stránky dostali voliči. Vy ale už máte dost informací, že jo? 😉 pic.twitter.com/ZYaILn9uOF

— Petr Pavel (@prezidentpavel) January 13, 2023

Terčem jsou vedle politiků i významní výrobci

Po volbách (14.-15. ledna) pokračovaly útoky na Český statistický úřad, který zodpovídá za sčítání a zveřejňování výsledků voleb, a také znovu na webové stránky organizace Hlídač státu. Od 16. ledna až do současnosti skupina pokračuje v útocích, nyní se však více zaměřuje na významné společnosti ve výrobním sektoru.

Není to poprvé, co NoName057(16) nebo jiná hacktivistická skupiny napojená na Rusko takto vytrvale útočí na konkrétní země. Je to však poprvé, kdy se úspěšně pokusily narušit dostupnost klíčových webových stránek během demokratických voleb. Útoky hacktivistických skupin napojených na Rusko byly v souvislosti s volbami sice zaznamenány v říjnu 2022, kdy se Killnet pokusil před volbami zaútočit na cíle v USA, a během listopadu, kdy se ruská hacktivistická skupina The People’s Cyber Army zaměřila na webové stránky americké Demokratické strany, tyto útoky však byly mnohem slabší, než aktuálně vidíme. Většina útoků totiž nezpůsobila žádné narušení dostupnosti stránek, na rozdíl od poměrně vysoké úspěšnosti útoků v České republice.

Tisícové odměny jako lákavý přivýdělek

NoName057(16) komunikuje primárně prostřednictvím Telegramu. Má hlavní ruskojazyčný kanál s téměř 20 000 členy, kanál v angličtině a skupinu dobrovolníků nazvanou DDosia Projects. Ten zahrnuje pouze 1 427 členů, ale je velmi aktivní a měsíčně provede velké množství útoků. Má čtyři dílčí kanály, přičemž jeden z nich se věnuje výběru cílů pro DDoS útoky. Aktivity jsou monitorovány, protože NoName057(16) nabízí dobrovolníkům peněžní odměny, které začínají na 20 000 rublech (6500 Kč) a končí na 80 000 rublech (přibližně 25 000 Kč).

Foto: Se souhlasem Check Point

Zdroj: TZ Check Point
Úvodní fotografie: Unsplash