Το NoName057(16), επίσης γνωστό ως 05716nnm ή NoName05716, έχει αναδειχθεί ως σημαντική απειλή που στοχεύει τα κράτη μέλη του ΝΑΤΟ και τους ευρωπαϊκούς οργανισμούς.
Η ομάδα, η οποία ξεκίνησε ως ένα μυστικό έργο στο πλαίσιο του Ρωσικού Κέντρου για τη Μελέτη και την Παρακολούθηση Δικτύου του Περιβάλλοντος της Νεολαίας, διεξάγει ενεργά κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσιών από τον Μάρτιο του 2022.
Λειτουργώντας με την υποστήριξη της ηγεσίας του CISM και αντλώντας κατεύθυνση από τα συμφέροντα της ρωσικής κυβέρνησης, ο οργανισμός έχει τοποθετηθεί ως μια σημαντική απειλή στον κυβερνοχώρο για δυτικούς θεσμούς που αντιτίθενται στους ρωσικούς γεωπολιτικούς στόχους.
Η κύρια επιθετική ικανότητα της ομάδας βασίζεται στο DDoSia Project, ένα botnet με πληθώρα που στρατολογεί εθελοντές μέσω καναλιών Telegram.
Οι εθελοντές είναι εξοπλισμένοι με εύχρηστα εργαλεία επίθεσης που βασίζονται στο Go και ανταμείβονται με κρυπτονομίσματα για τη συμμετοχή τους. Αυτό το μοντέλο που βασίζεται σε εθελοντές έχει αποδειχθεί εξαιρετικά αποτελεσματικό στην κλιμάκωση επιθέσεων κατά διαφορετικών στόχων.
Αυτό που ξεχωρίζει το DDoSia από τα παραδοσιακά botnets είναι η απλότητά του, επιτρέποντας σε άτομα με ελάχιστη τεχνική εξειδίκευση να συμμετέχουν σε συντονισμένες επιθέσεις.
Μέχρι το 2024, το NoName057 (16) επέκτεινε την επιρροή του μέσω συνεργασιών με άλλες φιλορωσικές ομάδες χακτιβιστών, ιδίως με τον Cyber Army of Russia Reborn, ο οποίος τελικά συνέβαλε στη δημιουργία του Z-Pentest τον Σεπτέμβριο του 2024.
Αναλυτές Picus Security αναγνωρισθείς ένα εξελιγμένο πρωτόκολλο επικοινωνίας δύο σταδίων που στηρίζει την υποδομή επίθεσης του DDoSia.
Τεχνικός Μηχανισμός
Το σύστημα ξεκινά με τον έλεγχο ταυτότητας πελάτη μέσω ενός HTTP POST στο τελικό σημείο /client/login του διακομιστή εντολών και ελέγχου, όπου ο πελάτης μεταδίδει κρυπτογραφημένες πληροφορίες συστήματος, συμπεριλαμβανομένων των λεπτομερειών του λειτουργικού συστήματος, της έκδοσης πυρήνα και των προδιαγραφών της CPU.
Μετά από επιτυχή έλεγχο ταυτότητας, όπως υποδεικνύεται από μια απάντηση 200 OK που περιέχει μια χρονική σήμανση UNIX, ο πελάτης προχωρά στο δεύτερο στάδιο ζητώντας διαμορφώσεις προορισμού μέσω ενός αιτήματος GET στο /client/get_targets.
Η επιχειρησιακή υποδομή χρησιμοποιεί μια ανθεκτική, πολυεπίπεδη αρχιτεκτονική σχεδιασμένη να αποφεύγει τον εντοπισμό και τον μετριασμό. Η βαθμίδα 1 περιλαμβάνει διακομιστές εντολών και ελέγχου που αντιμετωπίζουν το κοινό που επικοινωνούν απευθείας με πελάτες DDoSia, με μέση διάρκεια ζωής περίπου εννέα ημέρες, αν και πολλοί εναλλάσσονται καθημερινά.
Οι διακομιστές υποστήριξης επιπέδου 2 διατηρούν βασική λογική και λίστες στόχων, με την πρόσβαση να ελέγχεται αυστηρά μέσω λιστών ελέγχου πρόσβασης που επιτρέπουν συνδέσεις μόνο από εξουσιοδοτημένους διακομιστές Βαθμίδας 1.
Αυτή η διαμερισματοποίηση διασφαλίζει ότι ακόμη και όταν οι κόμβοι Βαθμίδας 1 εντοπίζονται και αποκλείονται, η βασική υποδομή παραμένει λειτουργική.
Η ανάλυση αποκαλύπτει υψηλό επιχειρησιακό ρυθμό, με μέσο όρο επίθεσης 50 μοναδικών στόχων καθημερινά και μοτίβα δραστηριότητας που συσχετίζονται έντονα με τις τυπικές ώρες εργασίας της Ρωσίας.
Η Ουκρανία αντιπροσωπεύει το μεγαλύτερο μερίδιο επιθέσεων με 29,47%, ακολουθούμενη από τη Γαλλία με 6,09%, την Ιταλία με 5,39%, τη Σουηδία με 5,29% και τη Γερμανία με 4,60%. Οι κρατικοί τομείς αντιπροσωπεύουν το 41,09% των στόχων, ενώ οι μεταφορές και οι τηλεπικοινωνίες επηρεάζονται επίσης σε μεγάλο βαθμό.
Οι επιθέσεις χρησιμοποιούν κυρίως πλημμύρες TCP και τεχνικές επιπέδου εφαρμογής, με τις θύρες 443 και 80 να αντιπροσωπεύουν το 66% της κίνησης.
Related Posts
Νέα παραλλαγή Mirai Botnet «Broadside» που επιτίθεται ενεργά σε χρήστες στην άγρια φύση
Χάκερ που εκμεταλλεύονται την ευπάθεια του XWiki στη φύση για να προσλάβουν τους διακομιστές για το Botnet
Το κακόβουλο λογισμικό ValleyRAT χρησιμοποιεί την εγκατάσταση Stealthy Driver για να παρακάμψει τις προστασίες των Windows 11
%20Hackers%20Using%20DDoSia%20DDoS%20Tool%20to%20Attack%20Organizations%20in%20NATO.webp?w=1600&resize=1600,900&ssl=1){kind=link}