Rusya yanlısı DDoSia bilgisayar korsanlığı projesi %2.400 üyelik artışı gördü


DDoS saldırıları

Rusya yanlısı kitle kaynaklı DDoS (dağıtılmış hizmet reddi) projesi ‘DDoSia’, bir yıldan kısa bir süre içinde %2.400 gibi büyük bir büyüme kaydetti ve on binden fazla kişi Batılı kuruluşlara yönelik saldırıların düzenlenmesine yardım etti.

Proje, geçen yaz “NoName057(16)” olarak bilinen Rus yanlısı bir bilgisayar korsanlığı grubu tarafından başlatıldı ve Telegram kanalında hızla 400 aktif üyeye ve 13.000 kullanıcıya ulaştı.

Bugün yayınlanan yeni bir raporda Sekoia analistleri, DDoSia platformunun yıl içinde önemli ölçüde büyüdüğünü ve projenin DDoS saldırılarına ateş gücü sağlayan 10.000 aktif üyeye ve ana Telegram kanalında 45.000 aboneye ulaştığını söylüyor (toplamda yedi tane var).

DDoSia, daha yıkıcı saldırılara da dönüşen topluluk boyutundaki büyümenin yanı sıra araç setini geliştirdi ve tüm büyük işletim sistemi platformları için ikili dosyalar sunarak daha geniş bir kitleye erişimini artırdı.

DDoSia'nın ana Telegram kanalı
NoName057(016) Telegram kanalı
(Sekoya)

Çok platformlu yükler

Yeni kullanıcıların platforma kaydı, o sırada yalnızca Rusça’yı destekleyen bir Telegram botu sayesinde tamamen otomatiktir.

Yeni üyeler, botun benzersiz bir müşteri kimliği ve bir yardım metni dosyası oluşturarak yanıt verdiği kripto para birimini almak için bir TON (Telegram Açık Ağ) cüzdan adresi sağlayarak başlar.

Kayıt metin dosyalarını oluşturan telgraf botu
Kayıt metin dosyalarını oluşturan telgraf botu
(Sekoya)

Ardından, yeni üyeler, saldırı aracını içeren bir ZIP arşivi alır. 19 Nisan 2023 itibarıyla ZIP aşağıdaki dosyaları içermektedir:

  • d_linux_amd64 – ELF 64-bit LSB çalıştırılabilir, x86-64
  • d_linux_arm – ELF 32-bit LSB çalıştırılabilir, ARM
  • d_mac_amd64 – Mach-O 64-bit x86_64 çalıştırılabilir
  • d_mac_arm64 – Mach-O 64-bit arm64 çalıştırılabilir
  • d_windows_amd64.exe – Microsoft Windows için PE32+ yürütülebilir (konsol) x86-64
  • d_windows_arm64.exe – Microsoft Windows için PE32+ çalıştırılabilir (konsol) Aarch64

Bu yükleri yürütmek için, güvenlik analistleri veya diğer “davetsiz misafirler” tarafından yetkisiz yürütmeyi sınırlamak için müşteri kimliği metin dosyasının yüklerle aynı klasöre yerleştirilmesi gerekir.

DDoSia istemcisi, projenin C2 sunucusu tarafından şifrelenmiş biçimde getirilen hedefleri listeleyen ve üyelerin kendilerine yönelik gereksiz isteklerin oluşturulmasına katkıda bulunmasına izin veren bir komut satırı istemi başlatır.

İstemci ve C2 arasında veri alışverişi
İstemci ve C2 arasında veri alışverişi (Sekoya)

Sekoia, Windows 64-bit yürütülebilir dosyasına ters mühendislik uyguladı ve C2 ile iletişim kurmak için AES-GCM şifreleme algoritmalarını kullanarak bunun bir Go ikili dosyası olduğunu buldu.

C2, hedef kimliğini, ana bilgisayar IP’sini, istek türünü, bağlantı noktasını ve diğer saldırı parametrelerini şifrelenmiş biçimde, yerel olarak şifresi çözülmüş olan DDoSia istemcisine gönderir.

C2 tarafından gönderilen saldırı parametreleri (şifresi çözülmüş)
C2 tarafından gönderilen saldırı parametreleri (şifresi çözülmüş)
(Sekoya)

DDoSia hedefleri

Sekoia, 8 Mayıs ile 26 Haziran 2023 arasında DDoSia C2 tarafından gönderilen bazı hedeflerle ilgili veri topladı ve hedeflenenlerin çoğunlukla Litvanya, Ukrayna ve Polonya olduğunu ve projenin toplam faaliyetinin %39’unu oluşturduğunu tespit etti.

Saldırıların bu odağı, bu ülkelerin Rusya’ya karşı yaptıkları açıklamalara bağlıdır, ancak genel olarak NoName057(16)’nın hedefleri NATO ülkeleri ve Ukrayna gibi görünmektedir.

DDoSia tarafından en çok hedef alınan ülkeler
DDoSia tarafından en çok hedef alınan ülkeler (Sekoya)

DDoSia, söz konusu dönemde toplam 486 farklı web sitesini hedef aldı ve kötü amaçlı trafiğin çoğunu alanlar şunlardı:

  • zno.testportal.com.ua – Ukrayna eğitim sitesi
  • e-journal.iea.gov.ua – Ukrayna hükümeti elektronik dergisi
  • e-schools.info – Ukrayna eğitim destek platformu
  • portofhanko.fi – Hanko’nun Fin limanının web sitesi
  • Credit-agricole.com – Büyük Fransız bankası Crédit Agricole’nin web sitesi
  • urok-ua.com – Ukrayna eğitim sitesi
  • groupebpce.com – Büyük Fransız bankacılık kuruluşu Groupe BPCE’nin web sitesi

NoName057(16), devam eden sınavları kesintiye uğratması muhtemel olan Mayıs ve Haziran başlarında eğitim platformlarını hedef aldı.

DDoSia’nın, özel paramiliter grubun Rus devletine karşı saldırı girişiminde bulunduğu 24 Haziran 2023’te iki Wagner bölgesini hedef olarak belirlemesi de dikkat çekicidir.

Ayrıca, DDoSia tipik olarak günde ortalama 15 hedef belirlemesine rağmen, 24 Haziran’da tüm ateş gücünü Wagner tesislerine odaklayarak bu durumu acil olarak değerlendirdi.

Sonuç olarak, DDoSia projesi büyümeye devam ediyor ve hedeflerinde önemli sorunlara yol açacak kadar büyük bir boyuta ulaştı.



Source link