úterý 21. ledna 2025
ikona hodiny 7. 3. 2022 17:42

Víte vůbec, jak probíhá kybervydírání?

DDoS útoky už nejsou tématem jen odborných médií, ale stále častěji se dostávají do hlavních zpráv, protože lidé chtějí vědět, proč nešla jejich oblíbená služba, web anebo e-shop. Jedná se o koordinovaný útok na cíl, který jim určí člověk anebo organizovaná skupina ovládající takzvaný botnet.

Petr Říha autor

expert na kybernetickou bezpečnost, WEDOS

Foto: Weods
Nezapomínejme na kybernetickou bezpečnost Foto: Weods

Botnet je souhrnné označení pro desítky tisíc až miliony napadených zařízení, které čekají na povel. Jsou to počítače, servery, mobilní telefony, váš domácí router, chytrá lednička, televize, bezpečnostní kamery s přístupem k internetu atd. Cokoliv, co je dnes připojené k internetu, se může stát součástí botnetu a provádět nejen útoky, ale i třeba rozesílat zavirované e-maily anebo se pokoušet napadnout a získat další zařízení do botnetu. Vybudovat a udržovat botnet přitom není nic levného. Organizované skupiny, které za největšími botnety světa stojí, na tom navíc chtějí vydělat. Botnet tak v jeden okamžik může provádět více kriminálních aktivit, které těm, kdo jej ovládají, má přinést zisky. Může například rozesílat spam, phishing anebo provádět DDoS útoky a vydírat oběti.

WEDOS internet

Společnost byla založena v roce 2010 a během 31 měsíců se stala největším poskytovatelem webhostingových služeb v Česku. Provozuje dvě vlastní privátní datacentra, kde jsou pouze vlastní servery a technologie. Druhé datacentrum, kde se servery budou chladit v olejové lázni, se právě dokončuje. Pro třetí datacentrum už je zakoupený pozemek a v řešení jsou potřebná povolení. Investice do technologií, inovací a výzkumu dovolují poskytovat služby co možná nejširší veřejnosti na nejvyšší možné úrovni. Zároveň se díky tomu dlouhodobě daří držet velmi příznivé ceny hostingových služeb a reagovat na aktuální požadavky trhu. Specifickou kompetencí je vysoký stupeň ochrany proti kybernetickým útokům.

Nejsou DDoS útoky jako DDoS útoky

Dříve byla hlavním cílem DDoS útoků síťová infrastruktura poskytovatelů hostingových služeb, provozovatelů datacentra, případně konkrétní server. To se však v posledních měsících rychle mění a stále častěji se setkáváme s jinými druhy útoků, které si vybírají za cíl konkrétní webové stránky. Útočníci je pomocí DDoS útoků přetěžují a vydírají provozovatele webu. Cílem může být kdokoliv. Obrana přitom není zrovna jednoduchá. Na tradiční DDoS útoky jsou velcí poskytovatelé služeb připraveni. Sledují atypický síťový provoz a ten filtrují. Používají drahé a výkonné síťové prvky a mají dostatečnou konektivitu. Nám se třeba podařilo v dubnu minulého roku odvrátit útoky přesahující ve špičkách 300 Gbps za vteřinu, které cílily na různé části infrastruktury v našem datacentru WEDOS DC1. Celková konektivita WEDOS DC1 je 3 x 100 Gbps plus záložní 10 Gbps linky. To byla v Česku doposud naprosto nemyslitelná čísla. Do té doby jsme se výjimečně setkali s útokem ve vyšších desítkách Gbps. Je třeba si uvědomit, že převážná většina poskytovatelů hostingových služeb má připojení v násobcích desítek Gbps, což je hodně. Desítky tisíc běžných webových stránek by utáhla i ve špičkách 10 Gbps linka. 100 Gbps linky jsou tak stále výjimkou. Používají je nadnárodní společnosti, které potřebují přenášet rychle větší objemy dat, a provozovatelé velkých datacenter. Nicméně pro filtrování takto silných útoků jsou nutností. Teď tu však máme vzrůstající trend něčeho nového – jedná se o DDoS útoky na aplikační vrstvě – na konkrétní webovou adresu (odborná klasifikace Layer 7 DDoS Attack). Podobně jako u jiných DDoS útoků jde o přetížení cíle velkým počtem požadavků z mnoha zařízení. Jenže tyto útoky jeví známky automatizace celého procesu. To by mohlo naznačovat, že se brzy budeme potýkat se sériovými útoky na každý web, jehož majitele stojí peníze, pokud je nedostupný. Jak takový útok probíhá, vám ukážeme na třech případech z tohoto roku.

PŘÍPAD Č. 1 Cíl: e-shop, výkupné 3 000 USD

Zákazník nám napsal, že má na webu výpadky. Technici zjistili, že je na jeho webu extrémně velký provoz, a tak důkladně prošli logy a zjistili, že se jedná o útok na aplikační vrstvě. Útočník volal jednu konkrétní podstránku webu. Předali to kolegům, kteří vyvíjejí naši celosvětovou síť WEDOS Global, jejíž součástí je i nová generace decentralizovaných ochran WEDOS Global Protection. Ta je sice stále ve vývoji, ale již nyní chrání desítky webů našich zákazníků, kteří měli obdobný problém. Za pár minut už jsme web schovali za naše ochrany a sledovali statistiky. Útoky byly poměrně silné. Ve špičkách dosahovaly až ke sto tisícům přístupů za minutu, kdy se většina útočících strojů pokoušela o přístup v prvních 10 vteřinách, pak byl 50 vteřin klid. Následoval test dostupnosti webu a opakování útoku. Tyto útoky v různé míře pokračovaly zhruba 4 hodiny. Pak to útočník vzdal. Se zákazníkem komunikoval přímo náš šéf Josef Grill, který se mu snažil situaci vysvětlit. Zákazník chtěl vědět, jestli on sám tomu může nějak zabránit a proč na něj vlastně jdou útoky. Faktem je, že takto rozsáhlému útoku se sám bránit nemůže. Na to jsou potřeba specializované ochrany (software) upravené na míru, poměrně drahý hardware, a hlavně to musí řešit lidé, kteří s tím mají zkušenosti. V těchto případech často sahají poskytovatelé služeb k takzvané geoblokaci. Existuje totiž databáze všech IP adres a jejich poskytovatelů, včetně státu a města. Takže můžete například zablokovat všechny IP adresy, které nejsou z ČR. Vzhledem k tomu, že poměrně hodně útoků šlo z českých IP adres (českých napadených zařízení), tak by to v tomto případě nepomohlo. A na otázku, proč právě on, mu majitel WEDOS odpověděl: „Prostě si na vás někdo zasedl.“ Zákazník nám pak přeposlal e-mail, který považoval původně za spam. Bylo v něm anglicky napsáno, že pokud nezaplatí 3 000 dolarů v bitcoin měně, bude jeho web pod DDoS útokem. E-mail dorazil zhruba v době začátku útoku.

PŘÍPAD Č. 2 Cíl: e-shop, výkupné 4 500 USD

Druhý případ zřejmě provedl stejný útočník, protože zdroje útoku i vydírání bylo totožné. Útoky dělí od sebe necelý týden. V tomto případě však už byl zákazník schovaný za naší ochranou WEDOS Global Protection. Útočník tak zkusil místo útoku na konkrétní existující podstránku webu zaútočit na neexistující stránky. Každý jednotlivý přístup byl na jinou. Zřejmě předpokládal, že máme na ochranách nějaké pravidlo pro ochranu konkrétních stránek, a ne všeho. Tento útok byl co do počtu přístupů o dost silnější. Možná útočník doufal, že projde delší dobu bez povšimnutí, nebo že zahltí server a donutí nás přímo vypnout web zákazníka, abychom neohrozili další zákazníky na stejném fyzickém serveru. To se mu ale nepovedlo. Zhruba za hodinu a půl to vzdal. Následně zkusil tradiční DDoS útok přímo na server, kde měl zákazník web. Na tyto útoky jsme však připraveni, protože s nimi máme bohaté zkušenosti od roku 2013. Od té doby vyvíjíme a zlepšujeme naši vlastní DDoS ochranu. Každý rok jsou do ní investovány miliony korun. Zkoušel to rovné dvě hodiny a pak přestal. Zákazník nám ještě napsal, že obdržel e-mail s výhrůžkou, že pokud nezaplatí 4 500 dolarů v bitcoin, bude jeho web pod DDoS útoky.

PŘÍPAD Č. 3 Cíl: e-shop, výkupné???

Toto je čerstvý případ ze začátku února, který nás překvapil svou silou. Doposud jsme se s takto silným útokem na aplikační vrstvě nesetkali. Ve své podstatě byl opravdu primitivní. Cílil na hlavní stránku webu a počet požadavků byl ze začátku víceméně rovnoměrně rozložený. V průměru se pohyboval přes 100 tisíc návštěv na pětiminutových průměrech. Díky rovnoměrné zátěži a dobře odladěnému webu si toho zákazník ani nevšiml. Web mu po celou dobu jel. Zhruba za hodinu však začal útočník přitvrzovat a zákazníkovi se začaly objevovat na webu chyby způsobené přetížením. To už jsme začali řešit a zákazníka schovali za naši ochranu WEDOS Global Protection. Na grafech pak bylo vidět, že každých 15 minut zkusil útočník napadení zesílit. Poslední útok dosahoval ve špičce až 168 tisíc požadavků za minutu. Celkem trval útok na zákazníka zhruba 2 hodiny a byl specifický tím, že útočník zneužíval k napadání různé služby pro anonymní procházení webu (proxy servery, TOR). Kolik bylo výkupné, jsme se nedozvěděli. Vyděračský e-mail zřejmě spadl do spamu.

Nejistá budoucnost, na kterou je třeba se připravit

Domníváme se, že podobných útoků bude přibývat, jakmile si útočníci tento druh vydírání dostatečně otestují, zautomatizují a masově nasadí. Je třeba se na to připravit. Na rozdíl od ransomware, kde dojde k zašifrování vašich dat většinou vaší vinou, v tomto případě nemusíte nic udělat špatně. Prostě jejich robot najde aktivní e-shop, zjistí kontaktní e-mail, vytvoří unikátní bitcoinovou peněženku, pošle vám výhružný e-mail a rozjede útok. Pokud na bitcoinovou peněženku nepřijde požadovaný obnos, nepřestane, nebo bude útok pravidelně opakovat. Navíc vám vyděračský e-mail může spadnout do nevyžádané pošty (spam) a nebudete vědět, co nebo proč se děje. Ne každý monitoruje síťový provoz a dění na službách zákazníků jako my. Věříme, že než se tento trend rozjede naplno, budeme mít už ochranu spuštěnou, odladěnou a nasazenou. Máme již nakoupený hardware a podepsané smlouvy s provozovateli datacenter po celém světě. Ceny za vybudování naší celosvětové sítě WEDOS Global přesáhly 100 milionů korun. Jedná se o největší investici od stavby našeho druhého privátního datacentra WEDOS DC2.

Články autora Petr Říha

Nejnovější články

Analýzy

Nelegální agentury představují riziko

S rostoucími personálními potřebami se firmy často obracejí...
Expertní pohled

Ceny nájmů v Praze neklesnou, naopak porostou až o 10 %

Vlastní bydlení se pro velkou část mladých Čechů...
Analýzy

České nemocnice nemají dostatečně zajištěnou kyberbezpečnost

Kybernetická bezpečnost je v českých nemocnicích zajištěna v...

Nejnovější Expertní pohled

Analýzy

Nelegální agentury představují riziko

S rostoucími personálními potřebami se firmy často obracejí...
Expertní pohled

Ceny nájmů v Praze neklesnou, naopak porostou až o 10 %

Vlastní bydlení se pro velkou část mladých Čechů...
Aktuality

Americká inflace přinesla dluhopisům úlevu, co přinese inaugurace?

Riziková aktiva, které od počátku tohoto roku trápily...