Avrupa Birliği’nin (AB) Europol ve Eurojust Ajansları tarafından yönetilen çok uluslu bir siber icra operasyonu, çoklu dağıtılmış Hizmet Reddi (DDO) saldırılarından sorumlu Nonam057 (16) Rus yanlısı hacktivist siber suç ağını başarıyla bozdu.
Europol, ağla ilişkili suçluların öncelikle Ukrayna’daki hedefleri hedeflediklerini, ancak 2022’de savaşın patlak vermesinin ardından odağını NATO üyelerine olan diğer Avrupa ülkelerine kaydırdıklarını söyledi.
Europol, “Ulusal yetkililer Nonam057 (16) suç faaliyetine bağlı bir dizi siber saldırı bildirdiler” dedi.
“2023 ve 2024 yıllarında, ceza ağı İsveç yetkililerine ve banka web sitelerine yönelik saldırılara katıldı. Kasım 2023’te soruşturmalar başladığından beri, Almanya 250’den fazla şirket ve kurum hedefleyen 14 ayrı saldırı dalgası gördü.
“İsviçre’de, Haziran 2023’te, Ortak Parlamentoya hitap eden bir Ukrayna video mesajı sırasında ve Haziran 2024’te Bürgenstock’taki Ukrayna Barış Zirvesi sırasında birden fazla saldırı gerçekleştirildi.
“Son zamanlarda, Hollanda yetkilileri, Hollanda’daki en son NATO zirvesi sırasında bu ağa bağlı bir saldırının gerçekleştirildiğini doğruladılar. Bu saldırıların hepsi önemli kesintiler olmadan hafifletildi.”
Yayından kaldırma
Eastwood Operasyonu, 100 sunucunun yayından kaldırılması ve Noname Operasyonunun altyapısının büyük bir kısmı, Fransa ve İspanya’da iki tutuklama ve Avrupa genelinde 24 mülk araması ile sonuçlandı.
Europol, 13 kişinin de sorgulandığını ve Noname Network’ün 1000’den fazla ‘destekçisinin – 15 yöneticinin yasal sorumlulukları için bilgilendirildiğini söyledi. Bu bireylerin Rusça konuşan hacktivistler olduğu anlaşılmaktadır.
Buna ek olarak, Alman yetkililer Rus vatandaşlarına karşı altı tutuklama emri çıkardı. Beş tanesi Andrej Stanislavovich Avrosimov, Mihail EVGEYEVICH Burlakov (AKA Darkklogo), Olga Evstratova (Olechochek), Maxim Lupin ve Andrey Muravyov olarak adlandırıldı. İspanyol polisi tarafından yedinci emir verildi.
Burlakov ve Evstratova, grubun zilleri arasında olmakla suçlanıyor – Burlakov, hedefleri tanımlamak için kullanılan yazılımları geliştirmeye ve optimize etmeye ve daha sonra onlara saldırmanın yanı sıra Noname’nin sunucu altyapısını kiralamak için yapılan ödemeleri denetlemeden şüpheleniliyor. Evstratova’nın Noname’nin tescilli DDosia kötü amaçlı yazılımının yaratılmasında ve optimizasyonunda önemli bir rol oynadığı iddia ediliyor.
Europol’un en çok aranan web sitesinde listelenen tüm bu bireylerin Rusya’da bulunduğuna inanılıyor.
Büyük ağ
Fancy Bear gibi tanınmış Rus devlet tehdit aktörlerinin aksine, ideolojik olarak güdümlü olmayan Noname ağının, Rus yetkililerinden destek almadan, Moskova’nın çalışmalarına müdahale etmeyeceğine dair konuşulmayan bir anlayış üzerine daha çok siber bir suç fidye yazılımı çetesi gibi davrandığı düşünülmektedir.
Europol, zirvede Noname’nin yaklaşık 4.000 destekçisi olduğunu ve hedeflerini abur cuburla bombalamak için kullanılan yüzlerce sunucudan oluşan bir botnet inşa edebildiğini tahmin ediyor.
Noname liderleri, sosyal medya ve mesajlaşma forumlarında Rus yanlısı kanallar, web forumları ve niş sohbet gruplarını kullandılar, gönüllüler genellikle arkadaşlarını gayri resmi olarak işe alıyor ve topluluklardan temas ediyorlardı.
Bu bireylere süreçlerini basitleştirmek ve siber saldırıları otomatikleştirmek için ddosia gibi platformlara erişim verildi, yani operasyon hızlı bir şekilde yeni işe alımlar sağlayabilir ve minimum teknik beceri setleriyle etkili bir şekilde çalışmalarını sağlayabilir.
Noname’nin gönüllü ordusu kripto para biriminde ödendi, sürekli bağlılığı ve katılımı teşvik etti ve Europol, bunun da oportünistleri gruba çekmede bir faktör oynamış olabileceğini söyledi.
Kültürel olarak, Noname, düzenli bağırışlar, skor tabloları ve kazanılan rozetler ile bilgisayar oyunu dinamiklerini taklit etti.
Liderler, ulusal propagandaların genellikle II.Dünya Savaşı sırasında öldürülen 25 milyon Sovyet vatandaşının, ülkenin yenilenen bir Nazi onsslaught ile karşılaştığına ikna etmek için öldürülen 25 milyon Sovyet vatandaşının anısını sömürdüğü ülkelerini savunma anlatımını oynayarak bu oyunlaştırılmış manipülasyonu duygusal olarak güçlendirdiler.
Check Point’teki güvenlik mühendisi Rafa López, “Nonam057 (16) grubu üzerindeki son uluslararası baskılar operasyonlarını bozsa da, faaliyetlerinin sonunu işaretlemesi olası değildir. Öncelikle, anti-Rusya olağanlarına sahip ülkeleri hedefleyen ülkeleri hedefleyen, telegrat gibi, etkileşime girmiş olmalarına rağmen, çalışmaya devam ettiklerine rağmen, çalışmaya devam ettiklerine rağmen, çalışmaya devam ettiler, sistem müdahaleleri ve veri açığa çıkması da dahil olmak üzere daha karmaşık yöntemlere doğru ilerliyor ve çevrimiçi oyun ve hacktivist forumlar da dahil olmak üzere çeşitli platformlarda geniş bir bağlı kuruluş ağı oluşturdu.
“Kuruluşların, sağlam DDOS koruması, saldırı algılama sistemleri ve düzenli güvenlik denetimleri de dahil olmak üzere çok katmanlı güvenlik stratejileri uygulayarak savunmalarını güçlendirmelerini öneriyoruz.
Lopez, “Çalışanları siber saldırıların riskleri konusunda eğitmek ve potansiyel işe alım çabalarını gösterebilecek iletişim platformlarında olağandışı faaliyetleri izlemek de önemlidir. Uyanık ve proaktif kalarak şirketler, Nonam057 (16) gibi gruplardan gelişen tehditlere karşı kendilerini daha iyi koruyabilir” dedi.
Operasyon, Çekya, Finlandiya, Fransa, Almanya, İtalya, Litvanya, Hollanda, Polonya, İspanya, İsveç ve ABD’den yetkilileri bir araya getirdi, ayrıca Belçika, Kanada, Danimarka, Estonya, Letonya, Romanya ve Ukray’de ajanslardan alındı. Özel Sektör Organları Shadowserver ve Kötüye Kullanım.Ch de teknik destek sağladı.