O projeto DDosia é um grupo de voluntários, que realizam ataques DDoS em nome de NoName(057)16. A pesquisa é uma continuação da análise original do pesquisador da Avast, Martin Chlumecky, com relação aos ataques DDoS do grupo usando a botnet Bobik.
A análise mais recente do servidor de Comando e Controle (C&C ) do projeto DDosia, ao vivo de 1º de agosto a 5 de dezembro de 2022, revela:
- NoName(057)16 configurou o projeto DDosia enquanto usava a botnet Bobik, provavelmente como um plano de backup. O servidor da botnet Bobik foi desativado no início de setembro.
- Detalhes técnicos do executável DDosia, que contém scripts Python e o servidor C&C.
- O grupo continua visando empresas privadas e públicas (tribunais, bancos, instituições educacionais, agências governamentais e serviços de transporte, por exemplo) na Polônia, Letônia e Lituânia, seguidas pela Ucrânia.
- A Avast observou cerca de 1.400 tentativas de ataque DDoS por membros do projeto DDosia, 190 das quais foram bem-sucedidas. A taxa de sucesso atual do projeto DDosia é de aproximadamente 13%.
- A taxa de sucesso dos ataques aumentou em novembro, provavelmente devido a ataques direcionados a vários subdomínios pertencentes ao mesmo domínio principal. Geralmente, os múltiplos sites pertencentes ao mesmo domínio são executados no mesmo servidor. Se esse servidor estiver vulnerável a ataques, todos os subdomínios hospedados no servidor também estarão vulneráveis.
- Por exemplo, o grupo visava subdomínios pertencentes ao domínio .pl, com a maioria dos quais executados na mesma plataforma, aumentando as suas chances de derrubar um servidor selecionado.
- Muitas das páginas visadas pelo grupo não contêm nenhum conteúdo anti-russo e não oferecem serviços críticos.
- O canal privado e dedicado ao projeto no Telegram tem cerca de 1.000 seguidores, os quais o grupo chama de “heróis”. Os membros são incentivados a usar uma VPN e se conectar por meio de servidores fora da Rússia ou da Bielorrússia, pois o tráfego dos dois países é frequentemente bloqueado nos países visados pelo grupo.
- Os “heróis” DDosia podem vincular uma carteira de criptomoedas, usando um ID de usuário incluído no arquivo ZIP que os “heróis” recebem após o registro, para ganhar até 80.000 rublos russos (US$ 1.200) em criptomoedas pelos ataques DDoS realizados e bem-sucedidos.
- Qualquer pessoa pode manipular as suas estatísticas de desempenho, pois a comunicação com o C&C não é criptografada e não autenticada.
- A Avast detectou um punhado de usuários tentando baixar o executável DDosia, mas notou usuários Avast na Rússia, bem como usuários no Canadá e na Alemanha agregando o programa à lista de exceções do Avast AV.
- Um “herói” do DDosia pode gerar aproximadamente 1.800 solicitações por minuto, usando quatro núcleos e 20 threads (dependendo da qualidade da conexão à Internet do invasor). Com cerca de 1.000 membros, supondo que pelo menos metade esteja ativa, a contagem total de solicitações para alvos definidos pode chegar a 900.000 solicitações por minuto. O suficiente para derrubar serviços web, que não esperam por um tráfego pesado na rede.
- Arquivos de configuração contendo listas de sites para DDoS são alterados quatro vezes ao dia, em média. O número médio de domínios atacados é de 17 por dia.
- A Avast assume que o grupo configurou um novo servidor C&C, depois que o primeiro servidor DDosia C&C foi desativado. O grupo continua divulgando o projeto e convidando novos membros a se associarem.
Confira a declaração de Martin Chlumecky, pesquisador de malware da Avast:
“Desde o início da guerra na Ucrânia, observamos chamadas nas mídias sociais para que as pessoas se envolvessem como hacktivistas e baixassem ferramentas DDoS com o objetivo de derrubar sites russos a fim de apoiar a Ucrânia.
Hoje, observamos diferentes aspectos motivacionais das pessoas que se juntam a grupos DDoS: por toda a Europa, sentimos o impacto financeiro da guerra russa. Para algumas pessoas, pode ser tentador ganhar algum dinheiro extra rapidamente. Observamos que alguns usuários em países como Canadá e Alemanha gostariam de se juntar ao grupo de hackers NoName(057)16, tentando baixar o arquivo executável DDosia e assim realizar os ataques DDoS. O arquivo está disponível apenas para membros verificados do grupo Telegram correspondente e foi enviado ativamente para a nossa lista de exceções AV por alguns usuários Avast. Resumindo, o malware não é mais marcado como tal e pode ser executado normalmente. Sem um grande conhecimento técnico, os membros do grupo podem ganhar até 80.000 rublos russos (cerca de US$ 1.200) em criptomoedas para os ataques DDoS bem-sucedidos. Assim, a motivação passa de aspectos políticos para financeiros. O grupo de hacker NoName(057)16 usa esse incentivo financeiro para aumentar a sua taxa de sucesso e assim se destacar na comunidade hacker – a motivação política pode desempenhar apenas um papel secundário para muitos, tanto no nível dos chefes do projeto quanto entre os usuários participantes.
Embora possa ser tentador para muitas pessoas se juntar a esses grupos cibernéticos, visando melhorar as suas finanças, ainda é um ataque cibernético com todas as consequências – incluindo consequências legais. Isso deveria estar claro para todos.”
