Bir Rus tehdit grubu, “kahramanlar” olarak adlandırdığı Dark Web gönüllülerini dağıtılmış hizmet reddi (DDoS) siber saldırı halkasına katmak amacıyla teşvikler ve kripto para birimi ödülleri sunuyor.
NoName057(16) olarak izlenen bir grup, Ukrayna ve Ukrayna yanlısı ülkelerdeki web sitelerine DDoS saldırıları düzenlemeye yönelik daha önceki bir çabayı desteklemeyi amaçlayan DDosia adlı projeyi başlattı. Bununla birlikte, Avast araştırmacısı Martin Chlumecký, Avast.io’daki bir gönderide, “DDosia, tüm işi kendi başına yapmaya çalışmak yerine, “en iyi performans gösterenlere ödüller sunarak, ödülleri kripto para birimlerinde ödeyerek insanları çabalarına katılmaya ikna ediyor” dedi. ” blog 11 Ocak’ta yayınlandı.
Avast araştırmacıları, NoName057(16)’yı ilk olarak Eylül ayında, grubun bot ağları kullanarak Ukrayna’yı hedef alan DDoS saldırılarını gözlemlediklerinde tespit ettiler. Kampanya özellikle Ukrayna’daki hükümetlerin, haber ajanslarının, orduların, tedarikçilerin, telekomünikasyon şirketlerinin, ulaşım yetkililerinin, finans kurumlarının ve daha fazlasının yanı sıra Estonya, Litvanya, Norveç ve Polonya gibi Ukrayna’yı destekleyen komşu ülkelerdeki web sitelerini hedef aldı.
Araştırmacılar, Bobik adlı bir uzaktan erişim Truva Atı’nın (RAT), orijinal saldırıda grup için DDoS saldırılarını gerçekleştirmede etkili olduğunu ve kötü amaçlı yazılımı kullanarak yüzde 40 başarı oranı elde ettiğini söyledi.
Ancak araştırmacılar, grubun Telegram kanalına göre, Eylül ayı başlarında botnet kapatıldığında grubun planlarında bir aksaklıkla karşılaştığını söyledi. NoName057 daha sonra, bu gerilemeye yanıt olarak 15 Eylül’de aynı Ukrayna yanlısı varlık grubunu hedef almak için DDosia’yı başlattı.
Chlumecký gönderisinde “DDosia projesini başlatarak NoName057(16), DDoS saldırılarını kolaylaştırmak için yeni bir paralel botnet oluşturmaya çalıştı.” Araştırmacılar, projenin aynı zamanda daha gizli Bobik botnet’e karşı halka açık, teşvik tabanlı bir DDoS çabasına yönelik bir pivotu temsil ettiğini söyledi.
DDosia Teknik Detaylar
DDosia istemcisi, NoName057(16) tarafından oluşturulan ve kontrol edilen bir Python betiğinden oluşur. Araştırmacılar, DDosia aracının, Babik kötü amaçlı yazılımının aksine, yalnızca yarı kapalı bir Telegram grubu aracılığıyla doğrulanmış/davetli kullanıcılar tarafından kullanılabileceğini söyledi. İki çaba arasındaki diğer bir fark, DDosia’nın ek bir arka kapı etkinliğine sahip olmamasıdır. Öte yandan Bobik, keylogging, işlemleri çalıştırma ve sonlandırma, sistem bilgilerini toplama, dosyaları indirme/yükleme ve virüslü cihazlara daha fazla kötü amaçlı yazılım bırakma dahil olmak üzere kapsamlı casus yazılım yetenekleri sunar.
Araştırmacılar, DDosia üyesi olmak için bir gönüllünün özel Telegram kanalında @DDosiabot tarafından kolaylaştırılan bir kayıt sürecinden geçmesi gerektiğini söyledi. Kaydolduktan sonra üyeler, yürütülebilir bir dosya içeren bir DDosia zip dosyası alırlar.
Chlumecký, NoName057(16) ayrıca gönüllülerin bir VPN istemcisi kullanmasını “şiddetle tavsiye ediyor”, “iki ülkeden gelen trafik genellikle grubun hedeflediği ülkelerde engellendiğinden, Rusya veya Beyaz Rusya dışındaki sunucular aracılığıyla bağlanıyor”, diye yazdı Chlumecký.
DDosia kampanyasında kullanılan ana DDosia C2 sunucusu 109.107.181.130; ancak araştırmacılar, 5 Aralık’ta yayından kaldırıldığını söyledi. Araştırmacılar, NoName057(16) Telegram kanalında aktif olarak gönderi paylaşmaya devam ettiğinden, başka bir botnet’e sahip olması gerektiğini varsayıyorlar.
DDosia uygulamasında, verileri indirmek ve C2 sunucusuna yüklemek için kullanılan iki sabit kodlanmış URL vardır. Araştırmacılar, birincisinin saldırıya uğrayacak alan hedeflerinin bir listesini indirmek için kullanıldığını, ikincisinin ise istatistiksel raporlama için kullanıldığını söyledi.
Araştırmacılar, DDosia’nın hedeflerin listesini botnet’e iki öğe içeren sıkıştırılmamış ve şifrelenmemiş bir JSON dosyası olarak gönderdiğini söyledi: hedefler ve rastgeleler.
Chlumecký, “İlki, DDoS hedeflerini tanımlayan yaklaşık 20 özellik içerir; her hedef birkaç öznitelik aracılığıyla tanımlanır: kimlik, tür, yöntem, ana bilgisayar, yol, gövde ve daha fazlası,” diye yazdı Chlumecký. “Sonuncusu, rasgele dizelerin basamak, üst, alt ve min/maks tamsayı değerleri gibi alanlar aracılığıyla nasıl görüneceğini açıklar.”
Araştırmacılar, DDosia’nın ayrıca her saldırı için çalışma zamanında rastgele değerler ürettiğini, bunun nedeninin muhtemelen saldırganların HTTP isteklerini rastgele hale getirmek ve daha iyi bir başarı oranı için her HTTP isteğini benzersiz yapmak istemesi olduğunu söyledi.
Ödüllü DDoS “Kahramanları”
Araştırmacılar, DDoS saldırılarının en önemli yeni yönünün, kampanyaya katılan gönüllülerin ödüllendirilme olasılığı olduğunu söyledi. NoName057(16), DDosia’nın nasıl çalıştığına ilişkin yukarıda belirtilen teknik yönlerden biri aracılığıyla, “kahramanlar” olarak adlandırdığı gönüllü ağı tarafından gerçekleştirilen saldırılar ve başarılı girişimler hakkında istatistiksel bilgiler toplar.
NoName057(16), Chlumecký’nin başarı için istatistikleri “kolayca” manipüle edebildiğini belirttiği bu kahramanlara, binlerce rubleye veya yüzlerce dolara eşdeğer kripto para meblağlarında ödeme yapıyor.
DDosia: Bozulma için Yaklaşan Potansiyel
Araştırmacılar, şu anda DDosia kampanyasının başarı oranının önceki Bobik kampanyasından daha düşük olduğunu ve tüm saldırı girişimlerinin yaklaşık %13’ünün hedefleri bozduğunu söyledi.
Ancak Chlumecký, projenin “doğru hedeflendiğinde baş belası olma potansiyeline sahip olduğunu” yazdı. Grubun şu anda yaklaşık 1.000 üyesi var; ancak, eğer bu yükselirse, araştırmacılar başarı oranının da artmasını beklediklerini söylediler.
Chlumecký, “Bu nedenle, başarılı saldırı, NoName057(16)’nın gönüllülere sağladığı motivasyona bağlıdır.”
Araştırmacılar, bir DDosia “kahramanının” dört çekirdek ve 20 iş parçacığı kullanarak dakikada yaklaşık 1.800 istek üretebileceğini ve istek oluşturma hızının saldırganın İnternet bağlantısının kalitesine bağlı olduğunu tahmin ediyor. Araştırmacılar, mevcut üyelik tabanının en az yarısının aktif olduğunu varsayarsak, bu, tanımlanmış hedeflere yönelik toplam talep sayısının dakikada 900.000 talebe kadar çıkabileceği anlamına gelir.
Chlumecký, “Bu, daha yoğun ağ trafiği beklemeyen Web hizmetlerini kapatmak için yeterli olabilir,” dedi. Bu arada, “yüksek ağ etkinliği yükü bekleyen sunucular, saldırılara karşı daha dayanıklıdır” diye ekledi.
Chlumecký, “DDosia’nın gelişen doğası ve dalgalanan gönüllü ağı göz önüne alındığında, DDosia’nın nihayetinde ne kadar başarılı olacağını yalnızca zaman gösterecek,” dedi.
Gerçekten de Rusya’nın Şubat 2022’de Ukrayna’ya saldırısı, DDoS saldırılarını tüm zamanların en yüksek düzeyine çıkardı ve saldırganların, başladığından beri kara savaşıyla birlikte tırmanan bir siber savaşta dijital ve BT bağlantılı kesintilere neden olmasına olanak sağladı.
Araştırmacılar, NonName057(16), bu saldırıları gerçekleştiren bir dizi tehdit grubu arasında yer alıyor, ancak bu noktada saldırıları düşük etkili olmaya devam eden ve çok az önemli hasara neden olan daha az karmaşık olanlardan biri.
Chlumecký grubu, faaliyetleri medyanın dikkatini çekmeyi amaçlayan başka bir Rusya yanlısı tehdit aktörü Killnet’e benzetti: “NoName057(16) faaliyetleri hala tehlikeli olmaktan çok baş belası.”