DDoSia elemzése

Editors' Pick

A Recorded Future jelentése részletes elemzést nyújt a NoName057(16) nevű oroszbarát hackercsoport tevékenységéről, amely az elmúlt 13 hónapban több mint 3700 egyedi célpont ellen indított DDoS támadást, főként európai kormányzati és közszféra szereplők ellen, akik ellenzik Oroszország ukrajnai invázióját. A csoport 2022 márciusában jelent meg, röviddel a háború kezdete után, és azóta napi szinten, átlagosan 50 célpontot támad a DDoSia nevű, önkénteseken alapuló platform segítségével. A támadások üteme erősen korrelál a háborús és geopolitikai eseményekkel, különösen Ukrajnában, és technikailag több szintű, dinamikusan változó infrastruktúrát használnak a C2 műveletekhez.

A DDoSia egy felhasználóbarát, Go nyelven írt DDoS eszköz, amelyet Telegram csatornákon keresztül terjesztenek, és amely lehetővé teszi, hogy akár technikailag képzetlen önkéntesek is részt vegyenek a támadásokban. A felhasználók egyedi azonosító hash-t kapnak, amellyel a C2 szerverhez csatlakoznak, célpontlistát kérnek le, majd hamis HTTP kérések ezreit zúdítják a célzott rendszerekre. A szerver-infrastruktúra két szintből áll, az első szint gyakran rotálódik, míg a második szintet ACL-ek (hozzáférés-vezérlő listák) védik, hogy fenntartsák a stabil működést.

A támadások során leginkább ukrán célpontokat értek, de gyakran volt célpont Franciaország, Olaszország, Svédország, Lengyelország, valamint más NATO-tagállamok. Az amerikai célpontok aránya meglepően alacsony, annak ellenére, hogy az USA is támogatja Ukrajnát. Az ágazatokat tekintve a közszféra szenvedte el a legtöbb támadást, de a közlekedési, logisztikai, technológiai és kommunikációs szektor is jelentősen érintett.

A jelentés szerint a csoport működése egyértelműen orosz érdekekhez kötődik, és bár hivatalosan nem állami szereplő, valójában egyfajta digitális milíciaként funkcionál, amely az orosz propaganda szolgálatában áll. A Telegramon nyíltan politikai üzeneteket közvetítenek, támadásaikat pedig megtorlásként keretezik az Oroszországgal szembeni álláspontok miatt. Ezt támasztják alá korábbi célpontválasztásaik is, mint például a litván infrastruktúra támadása Kalinyingráddal kapcsolatos uniós szankciók miatt vagy olasz célpontok megtámadása egy oroszellenes nyilatkozat után.

A jelentés kiemeli a 2025. július 14–17. között lezajlott Operation Eastwood nemzetközi bűnüldözési akciót is, amely során letartóztatásokra, házkutatásokra és körözésekre került sor több európai országban. A NoName057(16) válaszul Telegram-csatornáján elutasította a nyomozati eredményeket és megerősítette elkötelezettségét a kiberháború folytatása mellett.

Technikai szempontból a DDoSia kliens AES-GCM titkosítást használ az adatforgalom védelmére. A kommunikáció két fő lépésből áll, először a kliens regisztrálja magát a C2 szervernél, majd lekéri a célpontokat. A kliens azonosító hash-ekkel és rendszerinformációkkal hitelesíti magát, amelyeket a szerver visszafejt és ellenőriz. A célpontok JSON formátumban, titkosítottan érkeznek, tartalmazva a támadás típusát, célcímét, portját és a használt protokollt. A forgalom véletlenszerűségét random paraméterek fokozzák, hogy a szűrőmechanizmusokat megkerüljék.

FORRÁS