haktywiści
SentinelLabs analizuje grupę haktywistów NoName057(16)
Analitycy bezpieczeństwa SentinelLabs przyjrzeli się bliżej NoName057(16), stosunkowo nieznanej grupie haktywistów. Grupa, znana również jako NoName05716, 05716nnm lub Nnm05716, od marca 2022 r. kręci się obok Killnet i innych ugrupowań prorosyjskich. W grudniu 2022 r. była odpowiedzialna za zakłócanie funkcjonowania strony internetowej polskiego rządu. Według polskiego rządu incydent nastąpił po oficjalnym uznaniu przez Polskę Rosji za państwowego sponsora terroryzmu w połowie grudnia 2022 r. Niedawno grupa zaatakowała duński sektor finansowy, wpływając na główne instytucje finansowe, według wiadomości Reutera. agencja.
Motywacje haktywistów
Grupa NoName057(16) koncentruje się przede wszystkim na zakłócaniu dostępu do stron internetowych ważnych dla krajów krytycznych wobec rosyjskiej inwazji na Ukrainę. Metodą przeprowadzania takich zakłóceń są ataki DDoS (Distributed Denial of Service). Początkowo ataki ograniczały się do ukraińskich serwisów informacyjnych, ale później zostały rozszerzone cele związane z NATO ofensywa. Na przykład pierwszymi incydentami, za które grupa przyznała się do odpowiedzialności, były ataki DDoS na ukraińskie serwisy informacyjne i medialne Zaxid, Fakty UA i inne w marcu 2022 r.
Komunikacja za pośrednictwem kanału Telegram
NoName057(16) używa Telegrama do przypisania winy za swoje ataki, identyfikowania celów, gróźb i ogólnie usprawiedliwiania swoich działań. Co ciekawe, podejmowane są próby edukowania obserwujących poprzez treści edukacyjne, m.in. B. wyjaśnienie podstawowego żargonu branżowego i koncepcji ataków. Dowody z kanału Telegram firmy NoName057(16) sugerują, że grupa docenia uznanie, jakim cieszą się jej ataki, publikując je w Internecie iw artykułach w Wikipedii. Kanał publikuje również prorosyjskie memy, komunikaty motywacyjne i ogólne aktualizacje statusu w okresie świątecznym. Obserwowana aktywność Telegrama jasno pokazuje, że grupa postrzega siebie jako czołową rosyjską grupę cyberprzestępców, podczas gdy w rzeczywistości skutki jej ataków DDoS są jedynie krótkotrwałymi zakłóceniami z niewielkimi lub żadnymi innymi konsekwencjami.
Grupa wykorzystywała również GitHub do hostowania różnych nielegalnych działań. Obejmuje to korzystanie ze stron GitHub do bezpłatnego hostowania ich witryny z narzędziami DDoS i powiązanych repozytoriów GitHub do hostowania najnowszej wersji ich narzędzi, które są promowane na kanale Telegram. Dwa interesujące profile GitHub to dddosia i kintechi341.
Cele haktywistów NoName057(16) przez cały okres istnienia grupy koncentrował się na celach na Ukrainie iw krajach członkowskich NATO. Atakowane organizacje to zazwyczaj infrastruktury krytyczne, które są niezbędne dla bezpieczeństwa publicznego kraju. Wybór celu zmienia się w zależności od bieżących wydarzeń politycznych. Więc był celem polskiego rządu w grudniu i na początku stycznia 2023 r. skupiono się na organizacjach litewskich. Ostatnio aktor skupił się na temat głównych duńskich instytucji finansowych takich jak Danske Bank, Danmarks Nationalbank.
11 stycznia 2023 r. badacze SentinelLabs zaobserwowali, że cyberprzestępca rozpoczął ataki na strony internetowe kilku czeskich kandydatów na prezydenta w wyborach 2023. Wybory odbędą się w dniach 13-14 stycznia 2023 r., więc nie można zignorować momentu podjęcia prób zakłócenia. Konkretne cele obejmują obszary kandydatów Pavela Fischera, Marka Hilšera, Jaroslava Bašty, generała Petra Pavela i Danuše Nerudovej. W tym samym czasie zaatakowana została również strona internetowa Ministerstwa Spraw Zagranicznych Republiki Czeskiej. Analitycy bezpieczeństwa SentinelLabs powiadomili czeski CERT o odkryciu nowej listy celów.
Zaplecze techniczne
W 2022 roku NoName057(16) wykorzystywał szereg różnych narzędzi do przeprowadzania swoich gróźb. We wrześniu Avast poinformował, że atakujący wykorzystywał botnet Bobik do przeprowadzania ataków DDoS. Jednak wydaje się, że grupa szuka przede wszystkim dobrowolnego udziału za pośrednictwem swojego narzędzia DDOSIA, zwanego również przez jej twórcę Dosia i Go Stresser, zgodnie z komunikatem. Przeanalizowano dwie różne implementacje DDOSIA: implementację Pythona i implementację Golanga. Implementacja Pythona DDOSIA jest dostarczana jako pakiet instalacyjny py.
DDOSIA to wielowątkowa aplikacja, która przeprowadza ataki typu „odmowa usługi” na strony docelowe za pośrednictwem powtarzających się żądań sieciowych. Żądania są wysyłane zgodnie z instrukcjami zawartymi w pliku konfiguracyjnym, który złośliwe oprogramowanie otrzymuje z serwera C2 podczas uruchamiania. Wiele wskazuje na to, że DDOSIA stale ewoluuje i podlega częstym zmianom. Złośliwe oprogramowanie prowadzi statystyki dotyczące swojego działania i wskaźnika powodzenia — złośliwe oprogramowanie zlicza całkowitą liczbę i liczbę udanych żądań sieciowych wysłanych do każdej docelowej witryny. Opracowano również wersje narzędzia dla systemów macOS i Linux.
Wniosek
NoName057(16) to kolejna grupa haktywistów, która powstała podczas wojny na Ukrainie. Nawet jeśli metody te nie są bardzo wyrafinowane technicznie, mogą znacząco wpłynąć na dostępność usług – nawet jeśli jest to na ogół krótkotrwałe. Ta grupa ilustruje zwiększony potencjał ataków przeprowadzanych przez ochotników. Co więcej, najbardziej wpływowym ofiarodawcom oferuje się nawet płatności jako dodatkową zachętę. Badacze SentinelLabs uważają, że takie grupy będą się nadal rozwijać w dzisiejszym niepewnym klimacie politycznym.
„Guru kulinarny. Typowy ewangelista alkoholu. Ekspert muzyki.
