Zajistit vlastní bezpečnost při používání nástrojů určených k útokům je velmi složité. Hacktivismem riskujete své soukromí, bezpečí i pověst
Ruská invaze na Ukrajinu ve většině evropských států vyvolala obrovskou vlnu empatie. Lidé pomáhají různými způsoby: někteří nabízejí vlastní domovy válečným uprchlíkům, jiní přispívají sbírkám na pomoc Ukrajině. A jiní se rozhodli pro netradičnější cestu a pomáhají hackováním ruských webů a počítačů.
Hacktivistické skupiny se shromažďují na nejrůznějších místech – na Telegramu v kanálu nazvaném IT ARMY of Ukraine, ve vláknu na Redditu nebo například na známém webu Anonops. Společně začali hackeři vytvářet nástroje, kterými si v útocích pomáhají a pomocí nichž se do útoků mohou zapojit i normální uživatelé.
Nástroje k útoku
Útoků se můžete zúčastnit hned několika způsoby. Nejznámějším z nich jsou asi webové stránky, které útočí DDoS útoky na ruské servery. Možná jste slyšeli například o webu hxxps://stop-russian-desinformation.near[.]page. Tento web se stal předlohou pro další weby, které se lišily někdy jen designem webu, jindy přidali kreativní prvky jako například web 2048 game, na kterém můžete hrát online hru, zatímco útočíte.
Screenshot kódu, který ukazuje, na které weby útočíte
Jak útočné webové stránky fungují?
Jednoduše řečeno – weby v sobě ukrývají seznam serverů a počítadla, která zaznamenávají dosavadní počet vytvořených žádostí o přístup na server. Žádosti o přístup vytváří JavaScript kód. Seznamy jsou plné ruských a běloruských služeb od státních úřadů přes banky až k médiím a ruským firmám. Nejčastěji v nich zachycujeme tyto weby:
- hxxps://1tv.ru: Hlavní ruský TV kanál
- hxxps://sberbank.ru: Největší ruská banka
- hxxps://belta.by: Státem vlastněná mediální agentura v Bělorusku
- hxxps://fsb.ru: Federální bezpečnostní služba Ruské federace
A ačkoli seznamy webových stránek se liší na základě osobních preferencí vývojáře nebo tipů z Telegramu, základní kód zůstává všude prakticky stejný.
Hra Play For Ukraine na webu, který mezitím útočí na ruské servery
Rizika útočení
Dosavadní metoda používání JavaScriptu v prohlížeči k vytvoření vysoké návštěvnosti je poměrně neefektivní. Nemluvě o dalších problémech, které se s útoky na ruské a běloruské servery pojí. V Evropské unii je prakticky v každém státě zakázáno používat technologická zařízení ke kyberútočení. A ač na sebe následky mohou nechat čekat, nedivili bychom se, kdyby na ně nakonecn došlo (a Rusko nemusí být jediným státem, který tuto činnost odsoudí).
Mnoho serverů v Rusku (nejen vládní, ale i soukromé) zavedlo zeměpisné blokování. To znamená, že na tyto servery se nedostane nikdo, kdo nemá ruskou IP adresu. Například společnost Rostelecom, největší ruský poskytovatel digitálních služeb, přestala zveřejňovat veřejné prefixy infrastruktury elektronické státní správy (AS196747) v protokolu BGP (Border Gateway Protocol) mimo Rusko, čímž fakticky omezila příchozí provoz na ruské IP adresy státních institucí.
Počet návštěvníků na webech určených k DDoS útokům
Důležité je zdůraznit, že už jen přihlášením se na webové stránky vykonávající DDoS útoky se uživatel podílí na nelegální činnosti. Nemusíte tvůrcům webu dávat výslovný souhlas nebo se k útoku jinak připojit – stačí jen web otevřít a nebezpečný JavaScript se otevře a začne svou práci.
Navíc uživatel většinou útočí na předem dané weby. Setkali jsme se tak také s případem, kdy hacktivisté útočili na ukrajinskou těžební společnost (hxxps://ugmk.ua). Podobně autoři webu hxxps://kuzelovi[.]cz/FuckPutin.html na svém seznamu cílů zahrnuli 7000 webů, ocitly se na něm ale také mirrory na úložiště Fedora, které hostuje ruská mediální skupina. Na seznamu se objevila i ruská odnož UniCredit Bank.
Tím, že necháte někoho jiného vybrat cíle vašich útoků, se také může stát, že autor seznam cílů změní a vy si toho ani nevšimnete. Vzhledem k těmto všem okolnostem se naši bezpečnostní odborníci rozhodli zařadit podobné weby do kategorie malware.
Totéž co o DDoS webech lze říci i o skriptech v jazyce Python nebo příkazových řádcích, jejichž účel je obdobný. Mnohé z nich využívají pro zjednodušení kontejner Docker, nicméně jinak jsou prakticky stejné jako nástroje popsané výše: jde buď o zjednodušené skripty útočící na cílové servery, nebo o open sourcové nástroje vytvořené k zátěžovému testování webových stránek. Na GitHubu jsme našli hned několik projektů, jejichž tvůrci jen zabalili starší nástroje do Dockeru. Některé z nich mají už stovky kopií.
I mezi DDoS weby se najdou výjimky, které vás nechají samostatně vybrat cíle útoku nebo minimálně požadují souhlas s jeho započetím, ale ani přesto nemůžeme činnosti doporučit z výše zmíněných důvodů. Ze souborů README je naprosto jasné, čeho chtějí autoři nástrojů dosáhnout a jak – ani se nesnaží skrývat za užitečný nástroj, který pouze testuje odolnost stránek. Zmíněné weby se také mohou stát cíli protiútoků. Útočníci použijí jejich kód a naváží na něj škodlivou část, které si jednoduše nevšimnete. Zvlášť, když některé nástroje mají již apriori zdrojový kód zatemněný.
Bohužel nejen uživatelé využívající služeb těchto stránek a nástrojů se vystavují nebezpečí. Některé nástroje a stránky jejich vývojáři nebo spolupracovníci zveřejnili na GitHubu pod svým soukromým nebo pod pracovním účtem. Zaměstnavatelé, policie či jiní kyberzločinci by tak mohli v budoucnu jejich aktivity dohledat a osobní informace zneužít.
Jak zůstat v bezpečí?
Nezapomeňte, že účastnit se útoků je nelegální. A že je opravdu těžké zůstat při útočení v soukromí. Pokud podobným operacím a nástrojům příliš nerozumíte, může se jednoduše stát, že způsobíte víc škody než užitku. Nemluvě o tom, že hackeři s oblibou populární nástroje napodobují, ale jejich nové verze obsahují škodlivý malware. Proto se nezapojujte do žádných DDoS útoků a zůstaňte v bezpečí.