%20Hackers%20Using%20DDoSia%20DDoS%20Tool%20to%20Attack%20Organizations%20in%20NATO.webp?w=696&resize=696,0&ssl=1 "NoName057(16) Bilgisayar Korsanları NATO'daki Organizasyonlara Saldırmak İçin DDoSia DDoS Aracını Kullanıyor")
05716nnm veya NoName05716 olarak da bilinen NoName057(16), NATO üyesi ülkeleri ve Avrupa örgütlerini hedef alan önemli bir tehdit olarak ortaya çıktı.
Rusya’nın Gençlik Ortamı Araştırma ve Ağ İzleme Merkezi bünyesinde gizli bir proje olarak ortaya çıkan grup, Mart 2022’den bu yana aktif olarak dağıtılmış hizmet reddi saldırıları yürütüyor.
CISM içindeki liderlerin desteğiyle faaliyet gösteren ve Rusya hükümetinin çıkarlarından yön alan örgüt, kendisini Rusya’nın jeopolitik hedeflerine karşı çıkan Batılı kurumlara karşı büyük bir siber tehdit olarak konumlandırıyor.
Grubun birincil saldırı yeteneği, gönüllüleri Telegram kanalları aracılığıyla toplayan kitle kaynaklı bir botnet olan DDoSia Projesi’ne dayanıyor.
Gönüllüler, kullanımı kolay Go tabanlı saldırı araçlarıyla donatılıyor ve katılımları karşılığında kripto para birimiyle ödüllendiriliyor. Bu gönüllü temelli modelin, çeşitli hedeflere yönelik saldırıların ölçeklendirilmesinde oldukça etkili olduğu kanıtlanmıştır.
DDoSia’yı geleneksel botnet’lerden ayıran şey basitliğidir; minimum düzeyde teknik uzmanlığa sahip kişilerin koordineli saldırılara katılmasına olanak tanır.
2024 yılına gelindiğinde NoName057 (16), diğer Rusya yanlısı hacktivist gruplarla, özellikle de Eylül 2024’te Z-Pentest’in oluşumuna katkıda bulunan Rusya Yeniden Doğan Siber Ordusu ile ortaklıklar kurarak nüfuzunu genişletti.
Picus Güvenlik analistleri, DDoSia’nın saldırı altyapısını destekleyen iki aşamalı gelişmiş bir iletişim protokolünü belirledi.
Teknik Mekanizma
Sistem, komut ve kontrol sunucusunun /client/login uç noktasına bir HTTP POST aracılığıyla istemci kimlik doğrulamasıyla başlar; burada istemci, işletim sistemi ayrıntıları, çekirdek sürümü ve CPU özellikleri de dahil olmak üzere şifrelenmiş sistem bilgilerini iletir.
Başarılı kimlik doğrulamanın ardından, UNIX zaman damgasını içeren 200 OK yanıtıyla belirtildiği gibi, istemci, /client/get_targets’a bir GET isteği aracılığıyla hedef yapılandırmaları talep ederek ikinci aşamaya geçer.
Operasyonel altyapı, tespit ve hafifletmeyi atlatacak şekilde tasarlanmış dayanıklı, çok katmanlı bir mimari kullanır. Katman 1, DDoSia istemcileriyle doğrudan iletişim kuran, çoğu günlük olarak değişse de ortalama ömrü yaklaşık dokuz gün olan, halka açık komuta ve kontrol sunucularından oluşur.
Katman 2 arka uç sunucuları, yalnızca yetkili Katman 1 sunucularından bağlantılara izin veren erişim kontrol listeleri yoluyla sıkı bir şekilde kontrol edilen erişim ile çekirdek mantık ve hedef listelerini korur.
Bu bölümlendirme, Katman 1 düğümleri tanımlanıp engellendiğinde bile çekirdek altyapının çalışır durumda kalmasını sağlar.
Analizler, günlük ortalama 50 benzersiz hedefe saldırılan yüksek bir operasyonel tempoyu ve standart Rusya çalışma saatleriyle güçlü bir şekilde ilişkili faaliyet kalıplarını ortaya koyuyor.
Saldırılarda en büyük paya %29,47 ile Ukrayna sahip olurken onu %6,09 ile Fransa, %5,39 ile İtalya, %5,29 ile İsveç ve %4,60 ile Almanya takip ediyor. Kamu sektörleri hedeflerin %41,09’unu oluştururken, ulaşım ve telekomünikasyon da büyük ölçüde etkilendi.
Saldırılar ağırlıklı olarak TCP taşmalarını ve uygulama katmanı tekniklerini kullanıyor; 443 ve 80 numaralı bağlantı noktaları trafiğin %66’sını oluşturuyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
