Éra tupých DDoS útoků se chýlí ke konci. Kybernetické nájezdy jsou propracovanější

Útok typu DDoS má vždy stejný scénář. Stovky tisíc počítačů – v některých případech i miliony – začnou přistupovat v jeden okamžik na konkrétní server. Ten zpravidla nezvládne tak vysoké množství požadavků zpracovat a spadne. Pro běžné uživatele se pak takto napadená webová stránka tváří jako nedostupná.

Zástupci společnosti ComSource uvedli, že počet DDoS útoků byl v uplynulém měsíci prakticky stejný jako v předchozím měsíci. „Významné věci se ale odehrály na pozadí,“ varoval Michal Štusák, expert na kybernetickou bezpečnost a spolumajitel společnosti ComSource.

„Rostoucí hrozbou je totiž stále lepší kvalita a vyšší intenzita jednotlivých útoků. Ty jsou zároveň stále rozmanitější – v září se tak například objevil i velmi netradiční DDoS útok zaměřený pouze na protokol používaný pro VPN,“ zdůraznil Štusák.

VPN je technologické řešení, díky kterému se uživatel může připojit k soukromým internetovým stránkám i přesto, že úřady přístup k nim blokují. Uživatel může být například v Rusku, ale jeho počítač vypadá, jako kdyby byl v USA. VPN totiž vytvoří v podstatě virtuální tunel napříč internetem. Služba zároveň uživateli zajišťuje anonymitu.

„Mění se díky tomu i struktura zemí, odkud útoky míří. Za největším počtem z nich je sice stejně jako v předchozích dvou měsících Rusko, největší intenzitu ale nově mají sofistikované útoky z Evropy,“ podotkl bezpečnostní expert.

Zároveň varoval, že současným trendem je „rozmanitost a přesun od tupých útoků směrem ke kvalitě“. „Možná i z toho důvodu útočníci častěji využívají hostingové služby v evropských datových centrech. S útoky zaměřenými na aplikace jsou tak přímo u zdroje, místo aby využívali velké množství přípojek k internetu,“ prohlásil Štusák.

„V září jsme se dokonce setkali i s unikátním DDoS útokem zaměřeným na protokol GRE, který se využívá pro privátní okruhy. Útočníci jej použili v momentě, kdy byl předchozí standardní DDoS útok na stejný cíl neúspěšný,“ doplnil bezpečnostní expert.

Přiblížil zároveň i technickou stránku věci, podle něj v poslední době roste podíl útoků přímo na tzv. aplikační vrstvě. „To útočníkům umožňuje efektivně zvýšit dopad útoků a servery provozující služby jednodušeji zahltit i menší intenzitou síťového provozu. V kombinaci se zranitelností méně obvyklých internetových protokolů to ukazuje na nutnost zabezpečení nových míst v rámci firemní IT infrastruktury,“ konstatoval Štusák.

V posledních měsících roste zároveň podle dat společnosti ComSource intenzita DDoS útoků. To může být způsobeno i tím, že podobné kybernetické nájezdy jsou finančně motivované.

Hackerské skupiny dávají různé finanční pobídky, aby nalákali další členy k zapojení do útočných operací. „Někteří uživatelé ze zemí, jako je Kanada a Německo, se chtěli připojit k hackerské skupině NoName(057)16 a pokusili se stáhnout spustitelný soubor DDosia, jehož prostřednictvím by mohli provádět DDoS útoky,“ varoval Martin Chlumecký, analytik malwaru z Avast Threat Labs.

„Tento soubor je dostupný pouze ověřeným členům příslušné skupiny na Telegramu a někteří uživatelé Avastu jej aktivně zařadili na seznam výjimek v antiviru. Ten tak soubor neoznačí jako malware, a lze jej tudíž spustit,“ popsal Chlumecký aktuální praxi.

I bez větších technických znalostí si za každý úspěšný DDoS útok mohou podle analýzy Avastu členové hackerské skupiny přijít až na 80 000 rublů, tedy 25 000 korun v kryptoměnách. Získané peníze se dělí mezi členy. Útočníci tak milionové částky vydělávají doslova korunku po korunce, respektive v tomto konkrétním případě rubl po rublu.

„Motivace se tak mění z politické na finanční. Skupina NoName(057)16 používá tuto finanční pobídku, aby zvýšila svou úspěšnost a vybudovala si tak jméno v hackerské komunitě. Politická motivace může pro mnohé hrát pouze druhotnou roli jak u vedoucích projektů, tak i mezi hackery-dobrovolníky,“ zamyslel se Chlumecký.