İsviçre Hükümeti Rahatsız Edici Düzeyde DDoS Kesintileri Bildirdi

İsviçre’nin Bern merkezli federal hükümeti, dağıtılmış hizmet reddi saldırılarının Çarşamba günü birden fazla İsviçre federal kurumuna saldırdığını ve bu kurumların halka açık web sitelerinden bazılarının geçici olarak kullanılamamasına neden olduğunu bildirdi. Kendini Rus hacktivist grubu NoName057(16), diğer adıyla NoName, saldırıların sorumluluğunu üstlendi.

İsviçreli yetkililer, “Bilgisayar korsanları genellikle web sitelerinin kullanılabilirliğine yönelik bu tür saldırıları, medyanın dikkatini kendi amaçları doğrultusunda çekmenin bir yolu olarak kullanıyor.” dedi. “Bunu, bir web sitesini aşırı yükleyip bir süre boyunca kullanılamaz hale getirecek şekilde çok büyük miktarda istekle doldurarak yapıyorlar. DDoS saldırısında hiçbir veri kaybolmaz veya tehlikeye atılmaz.”

İsviçreli yetkililer, 10 Ocak’ta tüm kritik altyapı kuruluşlarını, Ukrayna Devlet Başkanı Volodimir Zelenskyy’nin 15-19 Ocak tarihleri ​​arasında Davos’ta yapılacak yıllık Dünya Ekonomik Forumu toplantısına katılımıyla aynı zamana denk gelecek şekilde zamanlanacak saldırılar konusunda uyardıklarını söyledi.

Hükümet, İsviçre Ulusal Siber Güvenlik Merkezi’nin DDoS saldırılarını “hemen tespit ettiğini” ve federal yönetimin uzmanlarının web sitelerine erişimi mümkün olan en kısa sürede yeniden sağlamak için gerekli önlemleri aldığını söyledi. İsviçre NCSC, saldırılarda kullanılan 949 farklı IP adresinin bir listesini yayınladı.

Psikolojik savaş

Rusya Devlet Başkanı Vladimir Putin’in Şubat 2022’de ordusunu Ukrayna’nın yasadışı, topyekun işgaline adamasından bu yana, Moskova’dan bağımsız olduklarını iddia eden ancak onun gündemiyle uyumlu birçok sözde hacktivist grup ortaya çıktı. Bu sadece Mart 2022’de ortaya çıkan NoName’i değil, aynı zamanda kendisini “özel bir askeri hacker şirketi” olarak tanımlayan KillNet’i ve merak uyandıracak derecede iyi finanse edilen yan ürünü Anonymous Sudan’ı da içeriyor.

Google Cloud’un Mandiant olay müdahale birimi, Killnet ve benzerleri tarafından başlatılan saldırıların “yalnızca kısa süreler süren yüzeysel etkiler yaratma” eğiliminde olduğunu bildirdi. Başlıca hedefleri Ukrayna’nın yanı sıra NATO ve AB müttefikleri olmaya devam ediyor.

Bu grupların doğrudan Moskova tarafından yönetilip yönetilmediği veya daha çok bağımsız yükleniciler gibi davranıp davranmadıkları muhtemelen akademik bir konudur, çünkü onların Putin yanlısı bir gündemi ilerletme girişimleri büyük ölçüde başarılı görünüyor.

Aslında bu DDoS saldırılarının ve zaman zaman gerçekleşen veri sızıntılarının asıl amacının psikolojik olduğu görülüyor. Mandiant’ın baş analisti John Hultquist’e göre, “Ciddi bir olayı gerçekleştirmeyi başarabilirler, ancak acil etkilerin onlar için güvenlik duygumuzu baltalamak kadar önemli olmadığını unutmamalıyız.”

‘Ücretsiz veya Düşük Maliyetli’ Hizmetlerin Yoğun Kullanımı

Bu çabalardan bazıları oldukça çevik görünüyor. NetScout Systems raporlarından alınan yeni bir rapor, NoName’in “hedef web sunucularını dolduran DDoS botnet’leri için bir fırlatma rampası olarak” içerik dağıtım ağları da dahil olmak üzere “ücretsiz veya düşük maliyetli genel bulut ve web hizmetlerinden yoğun şekilde yararlandığını” ve saldırılarının genellikle yalnızca “HTTP/HTTPS taşkınları, hedeflerin bant genişliğini ve kaynaklarını tüketmek anlamına geliyordu.”

NetScout, NoName’in Windows, Linux ve Mac sistemlerinde çalışabilen aynı adı taşıyan platformlar arası saldırı aracına bağlanan DDosia adında bir botnet geliştirdiğini söyledi. Grup, botnet’i aracılığıyla bireysel DDosia kullanıcılarını takip edebiliyor ve yüksek performans gösterenleri, geçtiğimiz Kasım ayından bu yana NoName tarafından oluşturulan ve TON paralarına dönüştürülebilen dCoin adlı bir token olan kripto para birimiyle ödüllendirmeyi vaat ediyor.

NetScout, saldırıların “ideolojik olarak motive olmuş gönüllülere” yönelik dış kaynak kullanımı, NoName’in aksamalarının çeşitli meşru kaynaklardan gelmesine yardımcı olduğunu söyledi. NoName tarafından bir müşteriye yapılan saldırının analizinde firma, en büyük saldırı trafiğinin, kötüye kullanımı tespit etmesi ve ardından engellemeye çalışması en az dört saat süren, araştırmacılar tarafından adlandırılmayan bir CDN’den geldiğini buldu. hizmetinden.

İsviçre’yi Tekrar Hedefleme

Bu hafta, İsviçre hükümeti sitelerinin DDoS saldırılarıyla hedef alındığı ilk hafta değildi. Haziran 2023’te NoName, uygulama katmanı DDoS saldırılarını içeren kesinti girişimlerinden yeniden pay aldı. Aralarında İsviçre Parlamentosu, İsviçre Postanesi ve İsviçre Federal Demiryolları’nın da bulunduğu çok sayıda yüksek profilli kurumun web sitelerini, çoğu yalnızca birkaç saat, bazı durumlarda ise birkaç gün boyunca kamuya açık olarak erişilemez halde bıraktılar.

İsviçreli yetkililer, otopsi analizinde, hedeflenen kurumların çoğunun zaten hazır olması nedeniyle saldırıların çok az aksamaya neden olduğunu ve bu çabanın bir parçası olarak herhangi bir önemli verinin sızdırılmadığını söyledi. Bunun yerine saldırganın asıl amacının “medyanın, kamuoyunun ve siyasilerin dikkatini” çekmek olduğu belirtildi.

“Rus yanlısı hacker grubu NoName’in amacı, İsviçre Parlamentosu’nun savaş malzemelerinin üçüncü ülkelere devredilmesi ve Başkan Zelenskyy’nin konuşmasının İsviçre Parlamentosu’na açıklanması da dahil olmak üzere aldığı bir dizi karara yanıt olarak siyasi şikayetlerini iletmekti.” hükümet dedi.

Kesintiler muhtemelen kendilerini hacktivist olarak ilan eden grubun ve dolayısıyla Moskova’nın hedeflerini karşıladı. İsviçreli yetkililer, “Aktörün birden fazla hedefi olması ve Ukrayna Devlet Başkanı Volodymyr Zelenskyy’nin İsviçre Parlamentosu’ndaki konuşmasının siyasi hassasiyeti, DDoS saldırılarının medyada geniş yer bulmasına yol açtı” dedi. “Bu kapsamlı haberciliğin sonucunda aktör, aradığı yüksek düzeyde kamuoyunun ilgisini çekti.”