Atak DDoS na La Poste tuż przed świętami: NoName057(16) ogłasza „sukces”, DGSI przejmuje śledztwo

Wprowadzenie do problemu / definicja luki

Na kilka dni przed Bożym Narodzeniem 2025 r. francuski operator pocztowy La Poste odnotował poważne zakłócenia w usługach online – od śledzenia przesyłek po elementy bankowości elektronicznej La Banque Postale. Z perspektywy cyberbezpieczeństwa nie była to „klasyczna luka” w oprogramowaniu, tylko atak DDoS (Distributed Denial of Service): przeciążenie usług ogromną liczbą żądań w taki sposób, by legalni użytkownicy nie mogli z nich korzystać. La Poste potwierdziła, iż incydent miał charakter odmowy usługi i zadeklarowała brak wpływu na dane klientów.

W skrócie

• Atak rozpoczął się 22 grudnia 2025 i spowodował niedostępność/niestabilność wielu usług internetowych La Poste.
• Ucierpiały m.in. kanały online oraz elementy usług bankowych (szczególnie dostęp do bankowości online/aplikacji), przy zachowaniu działania części operacji w placówkach oraz płatności z SMS-owym uwierzytelnianiem.
• Grupa NoName057(16) (prorosyjski kolektyw „hacktywistyczny”) ogłosiła odpowiedzialność, ale pojawiły się publiczne głosy ostrożności wobec takich deklaracji (ryzyko „opportunistic claiming”).
• Francuskie organy ścigania wszczęły postępowanie, a DGSI przejęła sprawę po pojawieniu się roszczeń sprawców.

Kontekst / historia / powiązania

Według relacji medialnych NoName057(16) działa od początku pełnoskalowej inwazji Rosji na Ukrainę (2022) i jest znana z koordynowania relatywnie prostych, ale uciążliwych kampanii DDoS wymierzonych w Ukrainę i państwa wspierające ją politycznie.

W przypadku La Poste śledztwo dotyczy przede wszystkim celowego zakłócenia działania systemu przetwarzania danych (typowy kwalifikator dla incydentów DDoS w kontekście prawnym), a sama firma złożyła zawiadomienie.

Analiza techniczna / szczegóły luki

Co wiemy pewnego (z komunikatów i doniesień)

• La Poste wprost wskazała na denial-of-service jako charakter ataku, oraz podkreśliła brak wpływu na dane klientów.
• Incydent spowodował niedostępność usług online i niestabilność w kolejnych godzinach/dniach; część funkcji bankowych pozostała dostępna (np. płatności z SMS), a operacje w placówkach działały.

Co jest prawdopodobne (mechanika DDoS w takim scenariuszu)

W praktyce ataki na instytucje masowe (poczta/bank) zwykle łączą:

• warstwę L7 (HTTP/S) – zasypywanie aplikacji i API (np. tracking, logowanie, sesje),
• oraz/lub warstwę L3/L4 – wolumetryczne zalewanie łącz i urządzeń brzegowych.

Efekt biznesowy jest podobny: usługa „jest”, ale dla klientów wygląda jak awaria (timeouty, błędy 5xx, niedostępne aplikacje), a zespoły operacyjne przechodzą w tryb gaszenia pożaru: ograniczanie funkcji, przekierowania, priorytetyzacja najważniejszych systemów.

Uwaga o „przyznaniu się” sprawców

Le Monde opisał, iż deklaracja NoName057(16) widziana na Telegramie nie zawierała twardych dowodów, a dodatkowo wskazywała domenę, która w obserwowanym momencie nie była już zakłócona — co pasuje do znanego zjawiska „opportunistic claiming”, gdy grupy przypisują sobie głośne incydenty dla rozgłosu.
To nie wyklucza ich udziału – ale operacyjnie oznacza jedno: atrybucję trzeba opierać na telemetrii (logach na brzegu/CDN/WAF, NetFlow, wzorcach botów, korelacji czasowej), a nie wyłącznie na wpisach w social media.

Praktyczne konsekwencje / ryzyko

1. Zakłócenie łańcucha operacji: choćby jeżeli sortowanie i doręczenia trwają, brak trackingu i niedostępne kanały cyfrowe eskalują liczbę zgłoszeń i koszt obsługi (call center, reklamacje). La Poste raportowała problemy m.in. z dostępnością centrów telefonicznych.
2. Uderzenie w zaufanie: atak na operatora „usług krytycznych w praktyce” (poczta + bank) w szczycie sezonu wzmacnia efekt psychologiczny – dokładnie to, na czym DDoS „hacktywistyczny” często żeruje.
3. Ryzyko wtórne: DDoS bywa dymną zasłoną dla innych działań (np. próby nadużyć, ataki na konta, fraud), bo SOC/NOC jest przeciążony zdarzeniami dostępnościowymi. Tego w tym przypadku nie potwierdzono, ale warto mieć w playbookach.

Rekomendacje operacyjne / co zrobić teraz

Jeśli odpowiadasz za usługi publiczne (logowanie, tracking, płatności, bankowość, e-administracja), ten incydent to dobry pretekst do szybkiego „health check”:

• Weryfikacja architektury anty-DDoS: CDN/Anycast na zasobach statycznych i API, WAF z sensownymi regułami, rate limiting per endpoint, ochrona przed botami (device fingerprint, challenge).
• Odporność DNS i punktów krytycznych: rozproszeni dostawcy DNS, krótkie procedury przełączeń, monitoring błędów NXDOMAIN/SERVFAIL.
• Degradacja kontrolowana: tryby „read-only”, cache’owanie wyników (np. tracking), priorytetyzacja ruchu (np. partnerzy logistyczni vs. frontend), kolejki/„waiting room”.
• Observability i dowody: trzymanie telemetrii z brzegu (CDN/WAF) + NetFlow, aby móc udowodnić wektor i skalę; to krytyczne również przy komunikacji z organami ścigania i ubezpieczycielem.
• Komunikacja kryzysowa: jasny status page, aktualizacje co X godzin, rozdzielenie „awaria usług” od „brak naruszenia danych” – La Poste wyraźnie podkreśliła drugi element i to ogranicza panikę.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• DDoS vs ransomware: tu mówimy o dostępności, nie o szyfrowaniu czy wycieku. La Poste wprost wskazała brak wpływu na dane klientów, co odróżnia incydent od typowych kryzysów typu „data breach”.
• „Hacktywiści” vs APT: kampanie NoName057(16) są często masowe i nastawione na efekt medialny/zakłóceniowy. To nie znaczy, iż są „nieszkodliwe” – zwłaszcza gdy trafiają w organizacje o ogromnym wolumenie transakcji w krótkim oknie czasowym.
• Atrybucja: ten przypadek pokazuje klasyczny problem: „ktoś się przyznał” ≠ „mamy dowody”. Le Monde przytoczył ostrzeżenia przed spóźnionymi, oportunistycznymi roszczeniami.

Podsumowanie / najważniejsze wnioski

Atak na La Poste (od 22 grudnia 2025) to podręcznikowy przykład, jak DDoS potrafi uderzyć w gospodarkę i społeczne zaufanie bez naruszania danych. Najbardziej wartościowa lekcja dla organizacji cyfrowych jest prosta: odporność na DDoS to nie tylko „większe łącze”, ale zestaw praktyk – architektura brzegowa, kontrolowana degradacja, twarda telemetria i dojrzała komunikacja. A jeżeli sprawcy „chwalą się” w social media, trzeba pamiętać, iż bez dowodów technicznych to wciąż tylko element wojny informacyjnej.

Źródła / bibliografia

• The Record (Recorded Future News): informacje o roszczeniu NoName057(16), skali zakłóceń i tle działań grupy. (The Record from Recorded Future)
• La Poste Groupe: oficjalny komunikat o ataku DoS, wpływie na usługi i braku wpływu na dane klientów. (La Poste Groupe)
• TechCrunch: przebieg incydentu i podsumowanie wpływu na usługi online/bankowe. (TechCrunch)
• Associated Press: kontekst śledztwa i przejęcia sprawy przez DGSI. (AP News)
• Le Monde (AFP): szczegóły dot. postępowania (UNC/DGSI) oraz ostrożność wobec deklaracji sprawców. (Le Monde.fr)