Ataki DDoS na polskie służby. W tle propaganda

Ataki DDoS znacząco różnią się od np. ataków ransomware. Nie są skomplikowane do przeprowadzenia: polegają na wysyłaniu ogromnej liczby zapytań do danego serwera z wielu urządzeń, przez co określona usługa (np. strona internetowa) przestaje działać.

Należy podkreślić, że DDoS-y mają duży wymiar propagandowy, na którym często zależy cyberprzestępcom. Jak podchodzą do nich polskie służby?

Z racji na chęć pokazania braku długotrwałych efektów, skierowaliśmy pytania do polskich służb, których strony internetowe miały rzekomo przestać działać. Nagłaśnianie ataków DDoS w wielu przypadkach nie jest wskazane - poniższy artykuł powstał w celu wykazania nieszkodliwości wspomnianych ataków oraz błyskawicznej reakcji służb.

Cele ataków

8 lutego br. jedna z grup cyberprzestępców opublikowała posty o przeprowadzeniu ataków DDoS na pięć polskich stron internetowych: cba.gov.pl, abw.gov.pl, aw.gov.pl, bbn.gov.pl oraz policja.pl. Ataki były przedstawiane jako sukces, który miał zostawić „długotrwałe skutki”. Oczywiście tak nie było, o czym zapewniły nas wspomniane służby.

Celem ataków były również polskie strony internetowe przedsiębiorców oraz administracja publiczna. Podmioty te nie zostały wymienione w artykule, aby nie generować niepotrzebnego chaosu informacyjnego.

Stanowisko Agencji Wywiadu

Agencja Wywiadu przekazała nam, że jest „regularnie atakowana przez różnego rodzaju ugrupowania (głównie z wykorzystaniem metody DDoS)”. Wdrożone mechanizmy mają skutecznie odpierać ataki.

W odniesieniu do przypadku z początku lutego, AW odnotowało incydent, zaś przestój w działaniu strony miał trwać kilka minut. Ataki były rozproszone i nie pochodziły z jednego kraju. Przekazano nam również, że skala ataku (w Mb/s lub Gb/s) była nieznaczna.

„Zadziałały procedury”

Biuro Bezpieczeństwa Narodowego zaobserwowało zwiększony ruch sieciowy w okolicach 8 lutego o godz. 23:10. Jego celem miało być „wysycenie przepustowości łącza strony internetowej bbn.gov.pl”. Poinformowano przy tym, że w początkowej fazie incydentu strona mogła być niedostępna lub działać wolniej niż zwykle, zadziałały jednak automatyczne reguły zapory sieciowej. Zablokowano również ruch sieciowy spoza Polski. Atak miał ustać ok. 23:30.

Podobniej jak w przypadku ataku DDoS na AW, zapytania pochodziły z wielu różnych krajów. BBN podkreśla, że atak został zatrzymany na poziomie zapory sieciowej oraz nie dotknął żadnego systemu informatycznego.

„Zadziałały procedury przewidziane na tego typu sytuacje, a o samym incydencie poinformowane zostały właściwe organy, z którymi współpracuje Biuro” – przekazał nam BBN.

Ochrona anty-DDoS w CBA

Centralne Biuro Antykorupcyjne poinformowało nas o tym, że atak DDoS spowodował niedostępność strony na czas „nie dłuższy niż 3 minuty”. Co ważne, CBA korzysta z „usługi ochrony przed atakami DoS/DDoS na infrastrukturę hostingową świadczoną w sieci NASK”. Wiele wskazuje na to, że chodzi tu o ADDoS, który opisaliśmy na naszym portalu.

Stanowisko Agencji Bezpieczeństwa Wewnętrznego

Z kolei Agencja Bezpieczeństwa Wewnętrznego przekazała nam, że odnotowała „atak DDoS o charakterze aplikacyjno-wolumerycznym na stronę internetową abw.gov.pl”. Ponownie, zapytania pochodziły z wielu różnych krajów.

„W wyniku incydentu nie odnotowano jednak żadnego przestoju w działaniu wspomnianej strony” – podkreśliło ABW.

Agencja dodała również, że CSIRT GOV stale monitoruje, rozpoznaje i wykrywa zagrożenia dla domeny gov.pl oraz „wprowadza rozwiązania techniczne, które pozwalają ograniczać skuteczność ataków DDoS”.

DDoS jako propaganda

Czy niedostępność strony internetowej w domenie gov.pl przez kilka minut w sobotni wieczór należy klasyfikować jako poważny incydent? Zdaniem wielu specjalistów cyberbezpieczeństwa – oczywiście, że nie.

Zespół Prasowy Komendy Głównej Policji przekazał nam, że udzieli odpowiedzi w przeciągu 14 dni od wysłania zapytań. Po otrzymaniu stanowiska KGP niezwłocznie zamieścimy je w artykule.

Powyższe stanowiska jednoznacznie pokazują, że polskie służby potrafią przeciwdziałać atakom DDoS. Należy przy tym pamiętać, że takie ataki mają również wymiar propagandowy, który może być ważniejszy od chwilowego przestoju w działaniu strony.