Rosyjska grupa hakerska NoName057(16) pochwaliła się we wtorek atakami na swoje cele w Polsce. Hakerzy przeprowadzili ataki DDoS (ich celem jest przeciążenie, a w efekcie odcięcie dostępu do stron internetowych) na strony Giełdy Papierów Wartościowych, działających w Polsce banków, Profilu Zaufanego i usługi Envelo Poczty Polskiej. Atak tym razem nie był szczególnie szkodliwy i wszystkie zaatakowane witryny działały już po kilkudziesięciu minutach od pierwszej informacji na ten temat. Był to jednak kolejny atak hakerski na strony polskich firm i instytucji, przeprowadzony zaledwie pięć dni po włamaniu (rosyjsko-chińskiej grupy CyberTriad) do bazy Akademii Sztuki Wojennej.
Kto atakuje strony polskich firm? Kim jest grupa NoName057(16)?
Prorosyjska grupa NoName057(16) (znana również pod nazwami NoName05716, 05716nnm i Nnm05716) powstała w marcu 2022 roku, tuż po pełnoskalowym militarnym ataku Rosji na Ukrainę. Od tego czasu atakuje swoje cele głównie w Europie Środkowej i Zachodniej oraz w USA i jest dość skuteczna. W Polsce dała o sobie znać po raz pierwszy w sierpniu 2022 roku, gdy zaatakowała polskie (i fińskie) strony rządowe.
Ponowne doniesienia o atakach NoName057(16) pojawiały się m.in. w grudniu 2022 roku oraz marcu, lipcu i sierpniu bieżącego roku. W ostatnich miesiącach grupa wzięła sobie na cel m.in. włoskie banki, a w dziś - w środę 30 sierpnia przed południem - poinformowała o atakach na czeskie firmy i instytucje finansowe. Strony przynajmniej części z nich mają obecnie nie działać.
Jak pisze zajmujący się cyberbezpieczeństwem serwis FalconFeeds.io, który prowadzi śledztwo na temat tejże grupy, NoName057(16) wyjątkowo upodobała sobie ataki typu Distributed Denial of Service (DDoS), polegające na wysyłaniu ogromnej liczby zapytań, aby przeciążyć serwery i wyłączyć atakowaną witrynę. NoName057(16) atakuje głównie strony internetowe dużych banków, instytucji i organizacji, obiektów wojskowych i agencji rządowych (np. w marcu w ten sposób udało im się wyłączyć portal podatki.gov.pl).
uRosyjscy hakerzy uderzyli w GPW i polskie banki za 'rusofobię'. Kim jest grupa NoName057(16)? fot. zrzuty ekranu z serwisu Telegram
Rosjanie wykorzystują w atakach własny zestaw narzędzi i moc obliczeniową komputerów hakerów należących do grupy, ale często korzystają też z mocy obliczeniowej przejętej podczas innych ataków hakerskich (mogą to być np. zainfekowane komputery-boty). Zdecydowaną większość infrastruktury pod ataki - jak wykrył serwis FalconFeeds.io - mają jednak zapewniać trzy firmy hostingowe - MIRhosting, Stark Industries i Severastra-as.
Przeprowadzili ponad 5 tys. ataków DDoS. Polska w gronie ulubieńców
Eksperci serwisu wyliczyli, że od momentu powstania - czyli w około 1,5 roku - hakerzy z prorosyjskiej grupy przeprowadzili przynajmniej 5200 ataków typu DDoS. Częścią z nich regularnie chwalą się (w j. rosyjskim i angielskim) w bardzo popularnym w Rosji serwisie społecznościowym Telegram. Najczęściej w formie dowodu publikują (jako dowód) łącza do Check-host.net, a czasem również zrzuty ekranu z atakowanych stron. Na przykładzie tych pokazanych w środę (przy okazji ataku w Czechach), możemy zobaczyć, że hakerzy posługują się na swoich komputerach językiem rosyjskim.
Grupa wydaje się nie mieć scentralizowanej struktury, a ataków dokonują haktywiści, którzy wspierają Rosję w wojnie z Ukrainą. Stąd też celami NoName057(16) są właśnie kraje, które opowiedziały się po stronie broniącego się kraju. Ulubionymi celami ataków tej grupy jest pięć państw europejskich - Szwajcaria, Hiszpania, Litwa, Polska i Ukraina. W ostatnim czasie wzmożono jednak ataki na podmioty mające swoje siedziby w Czechach, Danii, Estonii, Niemczech, Słowacji i Słowenii.
NoName057(16) wydaje się też podążać za rosyjskim przekazem propagandowym. W swoim pierwszym poście na Telegramie (z 11 marca 2022) hakerzy opublikowali grafikę przedstawiającą rosyjskiego żołnierza, próbującego zabić węża z przyczepioną flagą Ukrainy. Obok znalazła się z kolei swastyka pomalowana w ukraińskie barwy. W kolejnych postach NoName057(16) tłumaczy swoje ataki m.in. walką z nienawiścią wobec Rosji i szerzącą się rzekomo na Zachodzie "rusofobią".
Specjaliści z FalconFeeds.io nie podają, czy grupa jest powiązana z Kremlem (taka sugestia pojawia się często w mediach). Wiemy natomiast, że współpracuje ze znaną rosyjską grupą hakerów Killnet, która może być powiązana z Moskwą. NoName057(16) współpracuje też z prorosyjskimi ugrupowaniami Zarya i Xaknet.
