Rusya-Ukrayna savaşı, NATO üyesi devletlerin çoğunu birden fazla saldırı vektörüyle hedef alan ve “milliyetçi bilgisayar korsanları” olarak tanımlanan çeşitli tehdit gruplarını kışkırttı.
Bunlardan en dikkat çekenlerden biri, büyük ölçekli dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek için kullanılan DDoSia Projesi sayesinde ün kazanan Rus yanlısı grup NoName057(16) idi.
Ancak tehdit grubu, Kasım 2023'te Project DDoSia'nın daha yeni bir sürümünü önceden herhangi bir duyuru yapmadan yayınladı.
Bu yeni sürüm, 32 bit ve FreeBSD işletim sistemleri için ek işlemci uyumluluğu ve desteği içerir ve yazılımda, C2 sunucularında ve diğerlerinde çeşitli değişiklikler yapılmıştır.
İle HERHANGİ BİR RUN kötü amaçlı yazılım korumalı alanıkötü amaçlı yazılım dosyalarını, ağları, modülleri ve kayıt defteri etkinliğini analiz edebilirsiniz. Ayrıca işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza da olanak tanır.
Teknik Analiz
Cyber Security News ile paylaşılan raporlara göre, yeni proje DDoSia ZIP arşivi, farklı coğrafi konumlardaki kullanıcılar için belirlenmiş, biri d_eu ve diğeri d_ru adında iki klasör içeriyor.
Üstelik bu yeni sürümün kullanıcılarına, Rusya'da bulunuyorlarsa VPN kullanmaları da önerildi.
Tehdit grubunun Rus devletine atfedildiğine dair spekülasyonlar da var ancak iddiayı kanıtlayacak bir kanıt yok.
Ancak yeni sürüm aynı zamanda kullanıcı ile sunucu arasındaki C2 sunucu trafiğini de şifreledi.
.webp)
En çok hedef aldıkları sektörler arasında Hükümet, Bankacılık, Ulaştırma, Savunma, Teknoloji, Enerji ve diğer sektörler yer alıyor.
.webp)
DDoSia Projesi – Eksiklikler ve Geçici Çözümler
Yeni sürümün çeşitli veri aktarım yetenekleri olmasına rağmen, C2 sunucuları daha sık değiştirildi; bu da tehdit aktörlerinin DDoS operasyonlarını yürütme ve C2 sunucularının kararlılığını koruma konusunda çeşitli zorluklarla karşılaştığını belirtti.
Her yeni konfigürasyonda, DDoSia kullanıcılarının hedeflerine karşı sorunsuz bir DDoS saldırısı gerçekleştirebilmeleri için yeni sürümü indirip yüklemeleri gerekmektedir.
Bir yandan not olarak, yeni sürüm aynı zamanda kullanıcıları eğitmek için SSS'leri ve eğitim materyallerini de içeriyor.
Bu SSS'de “Sağlayıcı eylemlerimi görüyor mu, yoksa kolluk kuvvetleri IP'mi görüyor mu?” şeklinde ikinci bir soru var. buna cevap şu şekilde cevap veriyor
“Bilgisayar Rusya Federasyonu topraklarında bulunuyorsa, VPN kullanılmasa bile, yazılım stres testi için tasarlandığından yasayla ilgili herhangi bir sorun yaşanacağı şüphelidir.
En azından biz böyle düşünüyoruz. Bilgisayar Rusya Federasyonu dışında bulunuyorsa, IP adresini değiştirmek için VPN kullanılması önemle tavsiye edilir. IP adresindeki değişikliği örneğin myip.com adresinden kontrol edebilirsiniz.
Devre dışı bırakılmayı önlemek veya İnternet killswitch seçeneği olan bir VPN kullanmak için VPN'yi çalışırken izlemeniz önerilir.”
Mağduriyet Analizi
Tehdit aktörleri, DDoSia saldırılarının neredeyse dörtte birinde öncelikli olarak Ukrayna'yı hedef aldı.
Ancak Ocak ve Şubat 2024'te Finlandiya'da başkanlık seçimleri yapılması ve İtalya başbakanının spekülatif olarak Ukrayna'ya fon sağlanmasına yardım etmesi nedeniyle Finlandiya ve İtalya hedef alındı ve etkilendi.
.webp)
Ek olarak, Japonya-Ukrayna Konferansı'nda savaş sonrası yeniden yapılanma için önerilen 15,8 milyar yenlik yardım nedeniyle Japonya ile ilgili kuruluşlar Şubat 2024'ün sonunda hedef alındı.
Tehdit aktörleri sürekli olarak Ukrayna'ya yardım eden ülkeleri hedef alıyor. Ayrıca bu GitHub projesinde uzlaşma göstergeleri bulunabilir.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.