Nuo rugsėjo 24 d. – Lietuvai dovanota neįprasta ramybė, kurią sunku pastebėti tarp viso likusio pasaulio kibernetinės aplinkos ir joje esančio triukšmo. Ši diena žymi paskutinį kartą, kai lietuviškas domenas buvo įtrauktas į DDoS kenkėjiškų programų NoNam057(16) taikinių sąrašą. Apskritai, lyginant su dideliu atakų dažnumu 2023 m., 2024 metais buvo tik keturios unikalios datos, kai grupuotė taikėsi į Lietuvos institucijas – tai reikšmingas veiklos metodų pokytis. 

Nors atakų dažnumas sumažėjo, o tendencijos linija tarsi rodo, kad galiausiai – atakos turėtų išnykti – deja, realus gyvenimas ne visada taip veikia. Žvelgdami į pasaulines tendencijas matome, kad nei išpuolių dažnumas, nei intensyvumas nesumažėjo.  

Be to, svarbu pažymėti, kad grupė toliau tobulina savo DDoS kenkėjišką programinę įrangą, iš esmės ją pertvarkydama ir didindama efektyvumą bei pralaidumą – tai reiškia, kad kiekvienas taikinys gali patirti intensyvesnę ataką nei anksčiau. 

Be to, kad apskritai pasikeitė taktika, nukreipta į Lietuvą, labai pasikeitė ir tiksliniai sektoriai. Toliau pateiktos tendencijos rodo bendrą sektorių įtraukimo į tikslinį sąrašą atvejų skaičių. Šiuose duomenyse yra dublikatų, kai taikinys buvo įtrauktas į kelis taikinių sąrašus (tomis pačiomis arba skirtingomis dienomis), taip pat kai taikinys tame pačiame taikinių sąraše atsiranda kelis kartus.  

Daugiausia matome, kad labai padaugėjo išpuolių prieš ryšių sektorių, taip pat gerokai padaugėjo išpuolių prieš draudimo bendroves.  

Be to, tikslinė orientacija Lietuvoje labai skiriasi nuo pasaulinių tendencijų. Birželio mėn. tinklaraščio įraše Sekoia.io1 pateikia savo įžvalgas apie NoName057(16) pasauliniu mastu tikslingus sektorius. Jų vertinimu, 54 % tikslinių svetainių priklauso valdžios sektoriui. Tuo tarpu Lietuvoje labiausiai DDoS atakų taikiniu tampa Transporto sektorius – nuo viešojo transporto paslaugų, logistikos įmonių, transporto infrastruktūros (oro uostų, dokų ir kt.). Galiausiai, buvo viena interneto svetainė, kuri visiškai išsiskyrė iš kitų – tai vienintelė asmens, o ne organizacijos interneto svetainė, į kurią buvo taikytasi – Tomo Vytauto Raškevičiaus politinės kampanijos interneto svetainė https://raskevicius.lt/.  

Nors pasikeitę išpuoliai Lietuvoje gali kelti minčių, kad tokių išpuolių grėsmė sumažėjo, patys išpuoliai vis dar yra veiksmingi, o paskutiniai išpuoliai rugsėjo mėn. sutrikdė valstybinių institucijų darbą. Labai svarbu suprasti, kad kitaip nei pasaulinės tendencijos – žvelgiant į vietinius duomenis galima suprasti, kad nors atakos dažnai būna atsakas į proukrainietiškas akcijas Lietuvoje – NoName057(16) atakos dažnai nukreiptos į įvairias organizacijas, kurios gali sukelti nepatogumų kasdieniame eilinių Lietuvos gyventojų gyvenime, o ne bando įtakoti valstybines institucijas, kurios tiesiogiai remia Ukrainą.

Be to, mažėjant atakų dažnumui – organizacijos gali mažiau investuoti į apsaugą nuo tokių atakų. Galiausiai matome, kad organizacijos, kurios anksčiau sėkmingai sušvelnino šias DDoS atakas, yra linkusios nesiimti tolesnių veiksmų, nebent, kaip minėta anksčiau, tokia ataka sukeltų nepatogumų didesniam skaičiui žmonių (pvz.: viešojo transporto informacija). 

Ką turėtumėte daryti? Laikykitės bendrųjų apsaugos nuo DDoS atakų gairių. Geras atspirties taškas – CISA leidinys „Suprasti ir reaguoti į paskirstytųjų atsisakymo aptarnauti atakas“(Understanding and Responding to Distributed Denial-Of-Service Attacks) https://www.cisa.gov/resources-tools/resources/understanding-and-responding-distributed-denial-service-attacks, taip pat Lietuvos nacionalinio kibernetinio saugumo centro apsaugos nuo DDoS biuletenis https://www.nksc.lt/doc/biuleteniai/2021-11-05_DDoS.pdf. Be to, kadangi NoName057(16) atakų pobūdis yra savanorių, vykdančių atakas už piniginę naudą, tinklas – prisijungdami prie tinklo taip pat gaunate prieigą prie taikinių sąrašo. Kadangi prisijungimas prie tokio tinklo kelia etinių ir teisinių klausimų, nerekomenduojame to daryti. Vietoj to yra viešai prieinamų šaltinių su naujausiais taikinių sąrašais ir patikimų organizacijų, kurios šia informacija dalijasi MISP. Naudodamiesi šiais duomenimis galite nustatyti, kada būsite įtraukti į taikinių sąrašą, ir gauti tikslius duomenis apie tai, kaip į jus bus nukreipta ataka – kokios užklausos bus siunčiamos būtent kokiais keliais – taip galėsite sušvelninti ataką jai prasidėjus.   

Šie tyrimai atliekami vykdant SOCcare projektą, kuris yra platesnio masto tendencijų ir grėsmių paplitimo Lietuvoje tyrimų dalis. Be to, dalydamiesi tyrimo rezultatais su projekto partneriais – Bukarešto politechnikos universitetu ir „RevelSI“- nustebome sužinoję, kad ši grupė nesikėsino į nė vieną Rumunijos įstaigą. 

Projektą „SOCcare“ kartu su mūsų bendradarbiais, NRD Cyber Security ir RevelSI, bendrai finansuoja Europos Sąjunga, o jį remia Europos kibernetinio saugumo kompetencijos centras (ECCC) pagal dotacijos susitarimą Nr. 101145843.  

Išsakytos nuomonės ir požiūriai yra tik autoriaus ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.