V posledních měsících zažíváme veřejné projevy kybernetické války, kdy se jedna strana snaží bojovat proti ruskému agresorovi a ruský agresor se naopak snaží přerušit zásobování a podporovatele Ukrajiny. Mnozí jednotlivci se připojují k jedné či druhé straně, a to svépomocí nebo nákupem služeb na černém digitálním trhu. Je tedy skutečně možné koupit kybernetický útok za pár „kaček“? Je vůbec možné, aby byla cena kybernetického útoku tak „nízká“?
DHacking DarkWeb Telegram TOR DarkMarket qTOX RaaS
část I.
Před vypuknutím pandemie COVID-19 a před konfliktem na Ukrajině jsme slýchávali o kybernetických útocích spíše výjimečně a celá situace v kybernetickém prostoru nebyla příliš medializována. V posledních měsících až letech se situace dosti změnila a média, novináři i různí výzkumníci píší články a hovoří o možnostech nákupu kybernetického útoku za pár „kaček“ i v rámci České republiky. Proč tomu tak je a co se změnilo? Kybernetická bezpečnost by měla mít stále stejnou prioritu, ale diskuse na témata hybridního válčení se stále více vytahují na povrch a lidé se začínají více zajímat o kybernetický prostor a dění v něm. V příspěvcích se proto můžeme setkat s informacemi o možnosti nákupu kybernetického útoku za 10–200 USD, a to konkrétně za útok s cílem odstavit internetové služby pomocí distribuovaného útoku, tzv. Distributed Denial of Service (DDoS). Tento útok jsme mohli pozorovat i 20. a 27. dubna 2022, kdy se cílem staly organizace (Letiště Václava Havla, Policie ČR, Armáda ČR, České dráhy) a hostingové společnosti. 
Obr. 1: Internetová služba bootyou, která nabízí realizaci různých typů DDoS útoků
Při poskytovaných informacích se nejčastěji setkáme se službou bootyou.net (viz Obr. 1) nebo dosninja.net (viz Obr. 2). Ale je skutečně možné takovouto službou ničit české organizace? Ano i ne, ale o tom až později. Lze se setkat s cenami 10 USD za osobní údaje nebo zdravotnickou dokumentaci a cenovka za nákup hackera se pohybuje okolo 500 USD. Je to pravda a dá se těmto informacím věřit?
Obr. 2: Internetová služba DOSNinja, vydávající se za nástroj pro analýzu výkonu sítě formou simulace DDoS
Začněme tedy distribuovanými útoky. Pokud se podíváme na DDoS zdravým selským rozumem a optikou hackera, zjistíme, že by za danou cenu nebylo možné postavit ani infrastrukturu pro takový útok. Cena distribuované sítě tzv. Botnetu je mnohem vyšší. S každým provedeným útokem hrozí, že bude Botnet zničen a útočníci přijdou o možnost masivních útoků. Je nutné si uvědomit, že ani cena vytvoření takového Botnetu není zanedbatelná a leckdy se může jednat o hodiny, dny a měsíce práce, než takový Botnet v internetu vznikne.
Druhou skutečností je fakt, že aby mohl Botnet vzniknout, musí být využita nějaká zranitelnost systému nebo lidská chyba. Pakliže útočník využije kompromitovaná zařízení, tzv. Boty nebo Zombie zařízení pro útok, může se snadno stát, že kompromitované zařízení začne selhávat a bude pro svého vlastníka nespolehlivé, což může vést k reinstalaci, tedy odpojení z Botnetu.
Taktéž si musíme uvědomit, že DDoS útoků máme několik typů a vždy záleží, na jaké služby cílí. Některé jsou cílené na vrstvu síťovou a transportní, tedy L3/L4 vrstvu dle ISO/OSI modelu, a některé jsou cílené na aplikační, tedy na L6/L7 vrstvu dle ISO/OSI modelu. Toto je důležité, protože mnohé služby nabízejí útoky na aplikační vrstvu, ale jejich skutečné chování je emulované a vlastně se jedná o útok na vrstvu L3/L4 dle ISO/ OSI formou zaplavení (flood) síťové karty. Rozdílnost v nabídce je možné poznat snadno, protože útok vedený na aplikační vrstvu není nikdy uváděn v Gbps, tedy v úrovni zatížení linky, ale měl by být uváděn v počtu požadavků za sekundu. Např. služba bootyou.net uvádí, že je schopna provádět 200 000 požadavků za sekundu. Pokud není uveden počet požadavků za sekundu, můžeme očekávat, že se jedná buď o podvod, nebo o nesmyslný popis produktu, a to by mělo kupujícího vést k obezřetnosti. Často také můžeme vidět, že služby jsou přístupné v běžném internetu, jen je náročnější identifikace vlastníka daného e-shopu.
DDoS služby vystupují pod příznakem „stress tool“ nebo „performance testing tool“ a tváří se jako naprosto korektní služby. Služba dosninja.net je plnohodnotný podvod a není možné ji provozovat, resp. se nic nestane a požadavky nejsou proti webovému serveru vůbec odeslané. Služba bootyou.net je o něco lepší. V jeden okamžik dokáže webový server zatížit až do výše 2Gbps, ale v 19 případech z 20 nebyla síla ani 100Mbps. Při analýze provozu bylo zřejmé, že služba využívá nějaký lokální nástroj (např. SCAPY nad Pythonem) a komunikace běží pouze z jednoho zařízení, které mění zdrojovou IP adresu tak, aby se útok tvářil jako DDoS, ale ve skutečnosti se jednalo o obyčejný malý DoS, který nemá žádnou sílu proti svému cíli a v logu webového serveru neexistoval ani jeden záznam s pokusem o přístup k internetové stránce.
Při porovnání s vlastními nástroji pro vytváření DDoS útoků, které využívají útoky skrze internetové proxy servery, bylo ověřeno, že síla útoku je až 70× vyšší a s jediným nástrojem je útočník schopen dosáhnout zatížení na odchozím provozu až 7Gbps. O tomto svědčí i uniklé programy skupiny KILLNET, která využívala k útoku stovky proxy serverů v internetu. Tato síla útoku by však byla pro mnohé společnosti v rámci České republiky likvidační, jelikož většina z nich nedisponuje ani základní ochranou proti DDoS/DoS útoku.
Obr. 3: Služba pro provoz serverů, které mohou být využívány nejen jako prostředky k vytváření DDoS útoků
Problémem, který zde nastává, je anonymita útočníka. Tím se dostáváme k další službě, kterou lze na temné straně internetu pořídit. Jsou jí tzv. Infrastructure-as-a-Service (IaaS) služby. V internetu je možné koupit virtuální servery od různých poskytovatelů, jenže každý poskytovatel bude o provádění odchozího DDoS nebo DoS útoku okamžitě informován a bude nucen k zamezení komunikace z daného serveru. Toto však platí primárně v rámci Evropského hospodářského prostoru a v aliančních státech. Jenže existují země, které umožní nakoupit IaaS bez nutnosti prokazování identity a nákupy jsou placené v kryptoměnách. Jedná se zejména o nákupy v Monero (XMR), protože Bitcoin není v podsvětí internetu považován za 100% bezpečný. Na některých místech podsvětí se hovoří o několika službách hostovaných v Rusku, Malajsii, Indii a v podobných státech. Jako příklad lze uvést možnost zakoupení serverů z msk.host (viz Obr. 3), Web Hosting (viz Obr. 4) či Ablative Hosting (viz Obr. 5). Tím bychom dokázali získat přístupy k serveru a na něm pak spouštět potřebné útoky, jenže i v rámci virtuálních serverů se zde vyskytuje celá řada podvodů a deklarování možnosti nákupu služeb za kryptoměny není výhrou. Nakupující tedy bude buď podveden, nebo bude zablokován, jakmile spustí první útok.
Obr. 4: Webhostingová služba, která umožní pořízení serveru v kryptoměně
Obr. 5: Webhostingová služba, která umožní pořízení serveru v kryptoměně a garantuje určitou anonymitu provozuNejvětším podvodem je portál freerdpserver.net (viz Obr. 6), kdy se kupující musí registrovat do různých služeb, ale nakonec ani po zaplacení nezíská přístup ke vzdálené ploše Windows. Po nějaké době se mu však může povést najít službu, která bude funkční, zaplacená v Monero, ale spíše s tím nepočítejme. Každý, kdo obchoduje v podsvětí internetu, si musí uvědomit, že si nemá kam jít stěžovat, pokud mu nebude služba doručena.
Obr. 6: Podvodný web nabízející pořízení vzdáleného přístupu, pomocí RDP, zdarma
Dalším problémem, na nějž aktéři hrozeb narážejí, je registrace, která často vyžaduje telefonní číslo a e-mail. To lze vyřešit relativně snadno a vše je založeno na anonymním přístupu ke službě. Pakliže je nutná nějaká registrace, vždy se sleduje, aby nedošlo k záznamu logů nebo aby bylo obtížné logy ze služby získat. Z tohoto důvodu jsou často využívány služby pro e-maily jako mail.ru, rediff.com nebo protonmail.com a registrace je provedena ze zahraničí (Čína, Indie, Panama a podobné státy). Některé e-maily využívají registraci pomocí telefonního čísla, a proto se musejí aktéři hrozeb potýkat s nutností doručení SMS. Fyzické zařízení není možné použít, protože by se dalo za určitých okolností vystopovat. Proto aktéři hrozeb využívají virtuálních telefonních čísel. Tato čísla jsou provozována zdarma, ale často nebývají recyklována, takže konkrétní poskytovatel služeb může tato čísla blokovat. Asi nejznámější a skutečně funkční služba podporující anonymitu je na stránkách sms24.me (viz Obr. 7), receivesms.co nebo receive-smss.com.
Obr. 7: Portál pro příjem SMS bez nutnosti vlastnit telefonní číslo a telefon
Posledním problémem při stavbě infrastruktury aktéra hrozby je pořízení domény, za kterou bude provozovat své servery. Toto je obecně velký problém z pohledu registrace a anonymity. Aktér hrozby si však může registrovat domény s určitými top level domain názvy (TLD), které jsou zdarma (např. .tl, .ml, .ga, .cf. gq), a to na portálu freenom.com. Nebo si může koupit vlastní doménu za kryptoměny na portálu domains4bitcoins. com. Pomocí tohoto arzenálu a nákupu služeb by byl schopen sestavit infrastrukturu pro provádění kybernetických útoků od phishingu až po stavbu vlastního Botnetu nebo pro provoz vlastního ransomwaru. Aby však byl dostatečně anonymní v podsvětí internetu, pak na svůj server ještě nainstaluje službu TOR, která mu přidělí jméno s koncovkou .onion, tedy odkaz přístupný v rámci sítě TOR (např. pokud chce provozovat ransomware portál nebo nějaký Dark Market, na kterém by nabízel své služby ostatním).
Obr. 8: Nejznámější proruské fórum xss.is
Aktéři hrozeb však využívají mnohem rychlejších metod k pořízení prostředí, případně ke kompromitaci společnosti. Důkazem by mohla být např. mezinárodní hackerská skupina náctiletých s názvem Lapsus$, která také nakupovala přístupy v rámci Genesis Marketu. V podsvětí internetu lze objednávat služby jako např. DDoS, phishing a spear phishing, hacking, identity, kreditní karty, zero-day exploity, ransomware as a service, malware as a service, botnet, remote access trojan (RAT), remote administration service (RAT) případně FUR Malware nebo FUD RAT (v podsvětí internetu se jedná o zkratku k výrazu Fully UnDetectable, tedy malware nebo RAT, u kterého tvůrce garantuje, že jej nedetekuje žádný antimalware systém) a mnoho dalšího.
Musíme si však uvědomit, že v případě nefunkčnosti nebo neposkytnutí přístupu si nemáme kam jít stěžovat. Pokud vidíme ceny do 100 USD v rámci internetových tržišť, pak se jedná s největší pravděpodobností o podvod a nikdy nic aktér hrozby nedostane. Toto však neplatí u 100 % případů, a proto si příště řekneme, jak se v podsvětí internetu ověřuje dobrý prodejce a dobrý kupující a jaké služby se skutečně koupit dají.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
