DDoSia: NATO-célpontok
A Picus Security összefoglalása szerint a NoName057(16) egy orosz érdekeket szolgáló, geopolitikai célok mentén tevékenykedő hacktivista csoport, amely 2022 márciusában alakult, alig néhány nappal az orosz-ukrán háború eszkalációját követően. Ez a szervezet nem pénzügyi haszonért, hanem politikai okokból indít támadásokat, főként olyan országok és szervezetek ellen, amelyeket Oroszország stratégiai céljai ellenségnek tekint, ideértve NATO-tagállamokat és európai országokat is. Tehát a célja geopolitikai üzenetek közvetítése is egy olyan környezetben, ahol a kibereszközök stratégiai fegyverekké váltak.
A csoport fő támadási eszköze a DDoSia projekt, amely egy participatív, elosztott szolgáltatásmegtagadásos (DDoS) eszköz. A DDoSia működése abban különbözik a hagyományos botnetektől, hogy nem feltétlenül fertőzött eszközöket használ, hanem önkénteseket toboroz Telegram-csoportokon keresztül, akik egy egyszerűen használható, Go nyelven írt kliensprogramot futtatnak saját gépükön. A résztvevők célpontokat támadnak ezzel az eszközzel, és gyakran kriptovaluta jutalmat kapnak ezért, miközben az akciókat a csoport politikai retorikájával motiválják.
A DDoSia kliens kétlépcsős kommunikációt használ a C2 szerverekkel. Először az önkéntes eszköz regisztrálja magát és hitelesíti a kapcsolatot, majd egy második lépésben letölti a konkrét támadási konfigurációkat és célpontlistákat. A célpontok titkosított JSON formátumban érkeznek, és speciális paramétereket is tartalmaznak, amelyek segítik a támadások hatékonyságát azáltal, hogy dinamikus, véletlenszerű elemeket adnak hozzá a forgalomhoz, így nehezítve a kiszűrést vagy blokkolást.
A célpontok gyakran olyan kormányzati, közszolgálati és kulturálisan stratégiai szektorbeli szervezetek, amelyek a NATO-hoz vagy az Oroszországot támogató politikákkal szemben álló országokhoz kötődnek. A támadások során mind nagymennyiségű forgalommal túlterhelő támadások, mind erőforrás-kimerítést célzó technikák, SYN és ACK floodok, HTTP GET floodok vagy a Slow Loris típusú támadások, megjelennek annak érdekében, hogy elérjék a célpont hálózati szolgáltatásainak leterhelését vagy elérhetetlenné tételét.
A NoName057(16) operatív szervezete többrétegű infrastruktúrát tart fenn, ahol az első szintet az úgynevezett Tier 1 C2 szerverek adják, amelyek rövid élettartammal működnek és a klienskommunikációt fogadják. Ezek a szerverek gyakran módosulnak, hogy elkerüljék az azonosítást és a blokkolást. A hátsó Tier 2 szerverek pedig az igazi támadási logikát és célpontlistákat kezelik, és csak a megbízható Tier 1 szerverek felől érkező kommunikációt engedélyezik. Ez a felépítés hozzájárul ahhoz, hogy még ha az első szintet blokkolják is, a támadó infrastruktúra magja továbbra is működjön.
Érdekesség, hogy a NoName057(16) működése nem elszigetelt. A csoport együttműködött más, hasonlóan oroszbarat hacktivista entitásokkal, mint például a Cyber Army of Russia Reborn (CARR), ami 2024 szeptemberében egy Z-Pentest nevű hibrid csoport létrejöttéhez vezetett. Ez a kapcsolat azt sugallja, hogy a DDoSia erőforrások és kampányok tágabb, geopolitikai motivációjú mozgalom részét képezik, nem csupán önálló hacktivista akciók.
2025 júliusában a nemzetközi bűnüldöző szervek, köztük az Europol és Eurojust koordinálásával, Operation Eastwood néven hajtottak végre nagyszabású műveletet, amely 24 házkutatást és több európai országban letartóztatásokat eredményezett a NoName057(16) tagjai ellen. Ennek ellenére a csoport továbbra is aktív maradt, tagadva a vádakat és folytatva tevékenységét az állítása szerint információs műveletek támogatása érdekében.
