親俄黑客組織重金懸賞-邀志愿者加入“DDosia”反烏克蘭網絡攻擊項目
一個俄羅斯威脅組織正在提供獎品和加密貨幣獎勵,以招募暗網志愿者——它稱之為“英雄”——加入其分布式拒絕服務 (DDoS) 網絡攻擊圈。名為NoName057(16) 的組織發起了這項為DDosia的項目,旨在支持早期對烏克蘭和親烏克蘭國家的網站發動DDoS攻擊的努力。然而,DDosia并沒有嘗試自己完成所有工作,而是通過為表現突出的人提供獎品,以加密貨幣支付獎勵來吸引志愿者加入他們的攻擊項目,Avast研究員 Martin Chlumecky在Avast.io上的一篇文章中詳細介紹了相關背景。該博客文章于1月11日發布。
Avast研究人員在9月首次發現了NoName057(16),當時他們觀察到該組織正在使用僵尸網絡執行針對烏克蘭的DDoS攻擊。該活動專門針對屬于政府、新聞機構、軍隊、供應商、電信公司、交通當局、金融機構等烏克蘭以及支持烏克蘭的鄰國(如愛沙尼亞、立陶宛、挪威和波蘭)的網站。
研究人員表示,名為Bobik的遠程訪問特洛伊木馬 (RAT) 在最初攻擊中為該組織實施DDoS攻擊發揮了重要作用,使用該惡意軟件的成功率為40%。
Bobik的攻擊目標具有明顯的政治動機,2022年6月至7月間,該組織以波羅的海國家(立陶宛、拉脫維亞和愛沙尼亞)等烏克蘭以外的國家為重要目標實施DDoS攻擊。
然而,研究人員表示,根據該組織的Telegram頻道,該組織的計劃在9月初被關閉時遇到了麻煩。他們說,NoName057隨后于9月15日針對同一組親烏克蘭實體推出了 DDosia,作為對這一挫折的回應。
“通過啟動DDosia項目,NoName057(16)試圖創建一個新的并行僵尸網絡來促進DDoS攻擊,”Chlumecky在帖子中寫道。研究人員表示,該項目還代表著轉向基于激勵的公共DDoS攻擊與更加隱秘的Bobik僵尸網絡。
DDosia技術細節
DDosia客戶端由一個由NoName057(16) 創建和控制的Python腳本組成。研究人員表示,DDosia工具僅適用于通過半封閉Telegram群驗證/受邀的用戶——這與 Babik惡意軟件不同。他們指出,這兩項工作的另一個區別是DDosia似乎沒有額外的后門活動。另一方面,Bobik提供廣泛的間諜軟件功能,包括鍵盤記錄、運行和終止進程、收集系統信息、下載/上傳文件,以及將更多惡意軟件投放到受感染的設備上。
研究人員說,要成為DDosia會員,志愿者必須通過@DDosiabot在專用 Telegram頻道中提供的注冊流程。注冊后,會員會收到一個包含可執行文件的DDosia zip文件。
NoName057(16) 還“強烈建議”志愿者使用VPN客戶端,“通過俄羅斯或白俄羅斯以外的服務器進行連接,因為來自這兩個國家的流量在該組織的目標國家經常被封鎖,”Chlumecky寫道。
DDosia活動中使用的主要DDosia C2服務器位于109. 107. 181. 130;然而,研究人員表示,它已于12月5日被關閉。他們說,由于NoName057(16)繼續在其 Telegram頻道上積極發帖,研究人員認為它一定有另一個僵尸網絡。
DDosia應用程序有兩個硬編碼URL,用于將數據下載和上傳到C2 服務器。研究人員說,第一個用于下載將被攻擊的域目標列表,而第二個用于統計報告。
DDosia將目標列表作為未壓縮和未加密的JSON文件發送到僵尸網絡,其中包含兩項:目標和隨機數,研究人員說。
“前者包含大約20個定義DDoS目標的屬性;每個目標都通過幾個屬性進行描述:ID、類型、方法、主機、路徑、主體等,”Chlumecky寫道。“后者通過數字、上限、下限和最小/最大整數值等字段描述了隨機字符串的外觀。”
DDosia還在運行時為每次攻擊生成隨機值,這可能是因為攻擊者希望隨機化 HTTP請求并使每個HTTP請求唯一以提高成功率,研究人員說。
DDoS“英雄”的獎勵
研究人員表示,DDoS攻擊最重要的新方面是參與活動的志愿者有可能獲得獎勵。通過上述有關DDosia工作原理的技術方面之一,NoName057(16) 收集了有關其志愿者網絡執行的攻擊和成功嘗試的統計信息,他們稱這些志愿者為“英雄”。
NoName057(16)以高達數千盧布或相當于數百美元的加密貨幣支付這些英雄——Chlumecky指出他們可以“輕松”操縱統計數據以取得成功。
DDosia:潛在的顛覆
研究人員表示,目前,DDosia活動的成功率低于之前的Bobik 活動,約有13%的攻擊企圖破壞了目標。
然而,Chlumecky寫道,該項目“如果目標正確,可能會造成麻煩”。該小組目前有大約1,000名成員;然而,如果這一比例上升,研究人員預計其成功率也會增加,他們說。
“因此,成功的攻擊取決于NoName057(16)為志愿者提供的動力,”Chlumecky 解釋說。
研究人員估計,一個DDosia“英雄”可以使用4個內核和20個線程每分鐘生成大約1,800個請求,生成請求的速度取決于攻擊者的Internet連接質量。研究人員表示,假設當前會員群中至少有一半是活躍的,這意味著對定義目標的請求總數可以達到每分鐘 900,000個請求。
Chlumecky指出:“這足以讓預計網絡流量不會增加的Web服務癱瘓。” 同時,“期望高網絡活動負載的服務器更能抵御攻擊,”他補充道。
“鑒于DDosia不斷發展的性質及其不斷變化的志愿者網絡,只有時間才能證明 DDosia最終是否會成功或者會有多成功,”Chlumecky說。
事實上,俄羅斯在2022年2月對烏克蘭的攻擊已將DDoS攻擊推高至歷史最高水平,使攻擊者能夠在自地面戰爭開始以來就與地面戰爭一起進行的網絡戰中造成數字和 IT相關的破壞。
簡而言之,NoName057(16)專注于支持烏克蘭或“反俄”的公司和組織。2022年11月初,目標選擇發生了轉移,并轉向了先前成功攻擊的域的子域,從而提高了成功率。DDoS攻擊的新變化是獲得獎勵的可能性。該小組收集有關執行的攻擊和成功嘗試的統計信息。隨后,最好的“英雄”以加密貨幣支付。然而,統計數據很容易被操縱。
研究人員表示,NonName057(16) 是實施這些攻擊的眾多威脅組織之一,盡管它是目前攻擊影響較小且幾乎沒有造成重大損害的不太復雜的組織之一。Chlumecky將該組織比作另一個親俄威脅演員Killnet,其活動旨在引起媒體關注:“NoName057(16) 的活動與其說是危險,不如說是滋擾。”
