Nedávné kybernetické útoky v ČR
a ve světě
„Český ransomware“
• Malware, který se šíří zřejmě přes nakažené
webové stránky (pro MS Windows systémy)
• Po infikování PC jej zablokuje a vyžaduje zadání
kódu, který je nutné koupit
– Cca EUR 100
• Tváří se jako varování Policie ČR, které upozorňuje
na nelegální SW v počítači a platbu uvádí jako
pokutu za jeho používání
– Psychologický efekt – každý má v PC nějaký nelegální
SW :-)
„RansomWare“
• Bylo zachyceno několik verzí tohoto SW
– Jedná se nadnárodní aktivitu, směřující někam do
Ruska
– MW má několik skinů, které jsou upravovány
podle cílových uživatelů (jazyk, místní zvyklosti
policie, …)
– Poslední česká verze byla velmi přesvědčivá
• Někteří uživatelé přicházeli zaplatit pokutu přímo na
služebny ČP :-)
„RansomWare“
• Velká vlna šíření byla zaznamenána na začátku
roku
• Česká Policie případ aktivně řeší(la)
– spolupráce s evropskými partnery
– Centralizovaná evidence a vyšetřování všech
případů
• CESNET CSIRT prováděl forenzní analýzu
malware
Český ddos týden
• 4. až 7. března vlna ddos útoků na české weby
• Velmi cílená na mediální efekt, se znalostí
českého prostředí
– Pondělí: weby médií (idnes.cz, ...)
– Úterý: seznam.cz
– Středa: Velké banky
– čtvrtek: Mobilní operátoři
• Dvě vlny každý den
– 9-11 a 14-16 hod.
• Nikdo se k útokům nepřihlásil, motivaci neznáme
Český ddos týden - realizace
• „Ranní“ vlna využívala TCP SYN flood
– Předstírané a nedokončené pokusy o ustavení TCP spojení
– Vyčerpání TCP stacku na straně aplikací neumožní ustavit
legitimní spojení
– Zdrojová adresa podvržená (nicméně útok pocházel zřejmě z
více strojů)
• Odpolední vlna založena na packet reflection
– Pokus o TCP spojení s náhodným uzlem v Internetu s
podvrženou zdrojovou adresou (vedoucí na cíl útoku)
• Útoky negenerovaly velké objemy dat
– Někdy stačilo 80-120 Mbps, max. zřejmě kolem 1Gbps
– Přesto úspěšné, v řadě případů „odešla“ předřazená
infrastruktura (load-balancing, firewally)
Ddos proti Spamhaus-u
• Spamhaus je organizace, spravující seznamy
spammerů
• Masivní útok ddos na servery Spamhaus a později
CloudFlare (dodavatel ddos ochran pro
Spamhaus)
– Útoky začaly 16.3 a trvaly déle než týden
• V největší vlně generoval útok toky 300Gbps
– Problémy i pro London Internet Exchange, cca
hodinové snížení propustnosti
• Reálně zpomalení celého Internetu
SpamHaus - realizace
• Velké toky generovány pomocí techniky DNS
amplification
– DNS odpověď je výrazně větší než dotaz (proto
„amplification“)
– Na světě existuje spousta otevřených DNS resolverů (navíc
zpravidla na „tlustých“ linkách)
– Pomocí padělané zdrojové adresy lze zahltit linku k oběti
• K útoku přispěly:
– Otevřené DNS resolvery (zvýšení toků, až 1:10)
– Ignorovaná doporučení na routovací politiky, zejm.
http://tools.ietf.org/html/bcp38 (znemožnění podvrhnout
IP adresu)
SpamHaus - realizace
• Vedle masivního síťového ddosu i podvržení
aplikačního serveru
• Pomocí techniky BGP hijacking přesměřování
routování IP adresy jednoho ze serverů na
podvržený stroj
– Stroj na každý dotaz ohledně IP adresy tvrdil, že IP
je na seznamu spammerů
SpamHaus - dozvuky
• Podezření z útoků padá na „šedý“ serverhosting,
který se dostal na seznam spammerů
– CyberBunker, Nizozemí
• 25.4. ve Španělsku zatčen Sven Kamphuis (z
CyberBunker), zřejmě bude obviněn kvůli
„unesení“ IP adresy SpamHausu
• Už 26.4. se objevilo prohlášení podporující S.K.
a hrozící dalšími útoky
– http://pastebin.com/qzhcE1nVh