Szef kancelarii premiera Jan Grabiec poinformował 16 maja około 13:00, że od godz. 9:00 trwa atak DDoS na strony Platformy Obywatelskiej. „Główna strona PO oraz dodatkowa – przeznaczona na wpłaty na kampanię, zostały tymczasowo wyłączone. Współpracujemy z CERT NASK w sprawie przywrócenia funkcjonalności” – napisał w serwisie X.

Po godzinie 16:00 premier i przewodniczący PO Donald Tusk napisał na portalu X, że za atakiem stała „grupa rosyjskich hakerów działających na Telegramie”. Dodał, że celem są także strony Lewicy i PSL.

Dodatkowo w rozmowie z Polsat News dyrektor pionu mediów i komunikacji NASK Jacek Dziura potwierdził, że za ataki DDoS na niektóre polskie strony internetowe „odpowiada prorosyjska grupa haktywistyczna NoName057”.

Grupa NoName057 przyznała się do ataku

NoName057 to prorosyjska grupa hakerska, która już w przeszłości atakowała strony internetowe polskich instytucji, banków, giełdy, Profilu Zaufanego czy infrastruktury krytycznej (np. 1, 2, 3).

Pod jednym z linków znajdziemy raport, zgodnie z którym około 9:30 czasu polskiego serwer platforma.org nie był w stanie obsłużyć żądania osoby, która próbowała wejść na stronę (błąd 503). Witryna psl.pl, zgodnie z raportem, również była nieosiągalna, ponieważ serwer potrzebował zbyt wiele czasu na odpowiedź.

Sprawdziliśmy, że obecnie (16 maja, godz. 22:01) strony platforma.org i psl.pl są dostępne dla osób wchodzących na nie z Polski. Na stronę PO nie można się jednak dostać przez VPN, czyli przez wirtualny „tunel”, np. z Azji czy Ameryki. 

Czym jest atak DDoS i co oznacza błąd 503?

Jak wyjaśniono na stronie Mozilla Developer Network, częstymi przyczynami błędu 503 są wyłączenie serwera z powodu konserwacji oraz przeciążenia. 

Podczas konserwacji administratorzy serwera mogą tymczasowo kierować cały ruch na komunikat 503. Natomiast w przypadku przeciążenia serwer automatycznie odrzuca żądania i pokazuje komunikat 503, by w sytuacji, gdy osiągnięto limity pamięci, procesora czy puli połączeń, zapobiec poważniejszym awariom.

DDoS to z kolei skrót od Distributed Denial of Service – rozproszonej odmowy usługi. Chodzi o sytuację, w której prawidłowe działanie sieci komputerowej lub strony internetowej zostaje celowo zaburzone przez bardzo dużą liczbę użytkowników jednocześnie wysyłających dane (np. próbujących wejść na stronę).

To tylko inscenizacja?

O 17:30 policyjne Centralne Biuro Zwalczania Cyberprzestępczości poinformowało na portalu X, że realizuje czynności procesowe (przyjęcie zawiadomienia o przestępstwie, przesłuchania) w związku z tymi atakami. „Ataki skierowane były na domeny różnych podmiotów publicznych” – czytamy we wpisie CBZC.

Dwie minuty później Jakub Krysiewicz, szef firmy dostarczającej oprogramowanie dla firm zajmujących się handlem detalicznym, opublikował w serwisie X wpis, w którym stwierdził, że na serwerze platforma.org „zostało ustanowione przekierowanie do wyświetlania komunikatu 503”. W kolejnym wpisie Krysiewicz stwierdził, że serwery stron PO i PSL „były cały czas dostępne”.

Wpisy Jakuba Krysiewicza zdobyły tysiące reakcji i setki tysięcy wyświetleń. Zareagował na nie m.in. Krzysztof Stanowski, pytając: „Czy ja dobrze rozumiem, że atak hakerski na stronę Platformy nie jest atakiem hakerskim tylko inscenizacją?”. Z kolei Jacek Sasin napisał [pisownia oryginalna]: „To się nie dzieje. Upozorowali atak hakerski żeby przykryć finansowanie kampanii Trzaskowskiego z zagranicy?! To się w palę nie mieści!”.

Ekspert potwierdza atak prorosyjskiej grupy

Podzieliliśmy się ustaleniami Jakuba Krysiewicza z ekspertem w dziedzinie cyberbezpieczeństwa Mateuszem Chrobokiem. Jego zdaniem wiele wskazuje na to, że za problemami ze stroną PO naprawdę stoi grupa NoName057.

Jak wyjaśnia Chrobok, prorosyjska grupa od lat rozwija swoje narzędzie o nazwie DDoSia, w którym wybiera listę celów i pozwala „ochotnikom” dołączyć do atakowania serwerów. Celami na dziś, zgodnie z informacjami dostępnymi w tym narzędziu, są m.in.:

• gkpge.pl – Polska Grupa Energetyczna,
• pgnig.pl – Polskie Górnictwo Naftowe i Gazownictwo,
• samorzad.gov.pl – centralny system utrzymujący strony internetowe polskich samorządów,
• lodzkie.pl – oficjalny serwis Urzędu Marszałkowskiego Województwa Łódzkiego,
• polskapress.pl – strona wydawcy mediów regionalnych,
• bezpartyjnisamorzadowcy.pl – strona Bezpartyjnych Samorządowców,
• klub-lewica.org.pl – strona parlamentarnego klubu Lewicy,
• trzeciadroga.org – strona komitetu wyborczego Trzeciej Drogi z wyborów parlamentarnych,
• kukiz15.org – strona partii Kukiz’15.

Obecnie (16 maja, godz. 21:51) na liście nie ma stron PO i PSL. Znajdziemy na niej jednak strony innych formacji politycznych. Jak tłumaczy Mateusz Chrobok, cele aktualizowane są zwykle co kilka godzin. Nie wyklucza przez to, że jeszcze rano celami były strony platforma.org. i psl.pl.

Ekspert wskazuje, że celem hakerów jest atak na serwery, który ma sprawić, że strony nie będą funkcjonować. W przypadku strony PO serwer odpowiadał wyświetlaniem błędu 503. Mateusz Chrobok z jednej strony nie przesądza, czy to wynik działania administratorów, którzy próbowali zapanować nad nadmiernym ruchem na stronie, czy efekt przeciążenia serwera. Z drugiej strony jednak zaznacza, że grupa NoName057 od dawna celuje w Polskę, a wyżej przedstawione fakty wskazują na to, że „nie ma sensu wierzyć w teorie spiskowe związane z tą sytuacją”.

Kontroluj polityków!

Patrz władzy na ręce i wspieraj niezależność.

Wpłacam