NoName057(16) – O grupo hacktivista pró-russo visando a OTAN

Por Tom Hegel e Aleksandar Milenkoski

Sumário Executivo

• O grupo hacktivista pró-Rússia NoName057(16) está conduzindo uma campanha de ataques DDoS na Ucrânia e organizações da OTAN que começaram nos primeiros dias da guerra na Ucrânia. Os alvos incluíram organizações governamentais e infraestrutura crítica.
• NoName057(16) foi responsável por interromper os serviços em todo o setor financeiro da Dinamarca esta semana. Outros ataques recentes incluem organizações e empresas na Polônia, Lituânia e outros.
• Em 11 de janeiro, observamos NoName057(16) começar a segmentar os sites dos candidatos às eleições presidenciais tchecas de 2023.
• O SentinelLabs identificou como o grupo opera nos canais públicos do Telegram, um programa de pagamento DDoS alimentado por voluntários, um kit de ferramentas compatível com vários sistemas operacionais e GitHub.

O que é NoName057(16)

NoName057(16), também conhecido como NoName05716, 05716nnm ou Nnm05716, é um grupo hacktivista relativamente subestimado que apoia a Rússia desde março de 2022, ao lado de Killnet e outros grupos pró-russos. Em dezembro de 2022, o grupo foi responsável por interromper o site do governo polonês. Conforme observado pelo governo polonês, o incidente foi em resposta ao Sejm da República da Polônia reconhecer oficialmente a Rússia como patrocinadora estatal do terrorismo em meados de dezembro de 2022. Mais recentemente, o grupo teve como alvo o setor financeiro dinamarquês, impactando as principais instituições financeiras como relatado pela Reuters.

Motivações e Objetivos

O grupo NoName057(16) está focado principalmente em interromper sites importantes para nações críticas à invasão da Ucrânia pela Rússia. Ataques distribuídos de negação de serviço (DDoS) atuam como o método para conduzir tais esforços de interrupção.

Os ataques iniciais se concentraram em sites de notícias ucranianos, enquanto mais tarde mudaram para alvos associados à OTAN. Por exemplo, a primeira interrupção pela qual o grupo assumiu a responsabilidade foram os ataques DDoS de março de 2022 aos sites de notícias e mídia da Ucrânia Zaxid, Fakty UA e outros. No geral, as motivações giram em torno de silenciar o que o grupo considera ser anti-russo.

Métodos Operacionais – Canal Telegram

NoName057(16) operam através do Telegram para reivindicar a responsabilidade por seus ataques, zombar de alvos, fazer ameaças e geralmente justificar suas ações como um grupo. Curiosamente, NoName057(16) tenta ensinar seus seguidores por meio de conteúdo educacional, como explicar o jargão básico da indústria e os conceitos de ataque.

Com uma média de seis postagens por dia, o envolvimento geral dos esforços do Telegram de NoName057(16) diminuiu lentamente ao longo do tempo. O pico de visualização de suas postagens ocorreu em julho de 2022, quando atingiram aproximadamente 14.000 leitores com quase 100% de taxa de engajamento. Hoje, o alcance médio diário é de aproximadamente 2 a 3.000 e o engajamento na faixa de 10 a 20%, o que significa que o grupo está se tornando menos relevante para seus seguidores e para os usuários do Telegram como um todo. Isso pode ser explicado em parte pelo fato de que muitos grupos hacktivistas semelhantes existem, ganharam mais atenção e são frequentemente mais impactantes em seus objetivos.

Evidências do canal Telegram de NoName057(16) indicam que o grupo valoriza o reconhecimento que seus ataques alcançam ao serem referenciados online, inclusive em artigos da Wikipedia. O canal também publica memes pró-russos, postagens motivacionais e atualizações gerais de status nos feriados. A atividade observada no Telegram deixa claro que o grupo se considera um agente de ameaças russo de primeira linha quando, na realidade, o impacto de seus ataques DDoS é uma interrupção de curta duração com pouca ou nenhuma consequência mais ampla.

Relatamos as contas/canais associados à equipe de abuso do Telegram.

Hospedagem de ferramentas no GitHub

O grupo também fez uso do GitHub para hospedar uma variedade de atividades ilícitas. Isso inclui o uso do GitHub Pages para hospedar gratuitamente seu site de ferramentas DDoS dddosia.github[.]io e os repositórios GitHub associados para hospedar a versão mais recente de suas ferramentas, conforme anunciado no canal do Telegram. Dois perfis de interesse do GitHub são dddosia e kintechi341. As primeiras confirmações para o repositório ddos_config foram feitas em nome de “Роман Омельченко”.

Relatamos o abuso desses serviços à equipe GitHub Trust & Safety, que rapidamente agiu como uma violação dos Termos de Serviço do GitHub.

Rede

Os serviços C2 são hospedados principalmente pela Neterra, a organização búlgara de telecomunicações, enquanto também fazem uso de serviços DNS dinâmicos No-IP. A corrente C2 está zig35m48zur14nel40[.]myftp.orgem 31.13.195.87. Este servidor está ativo a partir desta versão.

Alvos

Ao longo da vida do grupo, NoName057(16) concentrou-se em atingir a Ucrânia e os países membros da OTAN. As organizações visadas são geralmente setores críticos de infraestrutura cujas operações são vitais para a nação-alvo.

A seleção de alvos muda de acordo com os eventos políticos atuais. Como observado anteriormente, o governo polonês foi alvo de dezembro após o Sejm da República da Polônia reconhecer oficialmente a Rússia como patrocinadora estatal do terrorismo em meados de dezembro de 2022. No início de janeiro de 2023, um grande foco foi direcionado para organizações lituanas, principalmente nos setores de carga e navegação. Mais recentemente, o ator começou a se concentrar em atingir as principais instituições financeiras dinamarquesas, incluindo Danske Bank, Danmarks Nationalbank e outros relatados na mídia esta semana.

Em 11 de janeiro de 2023, observamos o ator começar a segmentar sites pertencentes a vários candidatos às eleições presidenciais tchecas de 2023. A eleição está ocorrendo em 13 e 14 de janeiro de 2023, portanto, o momento dos esforços de interrupção não pode ser ignorado. Alvos específicos incluem domínios para os candidatos Pavel Fischer, Marek Hilšer, Jaroslav Bašta, General Petr Pavel e Danuše Nerudová. Além disso, o site do Ministério das Relações Exteriores da República Tcheca também foi alvo ao mesmo tempo. Notificamos o Czech CERT ao descobrir a nova lista de alvos.

kit de ferramentas de ataque

NoName057(16) fez uso de várias ferramentas diferentes para conduzir seus ataques ao longo de 2022. Em setembro, a Avast relatou sobre o agente da ameaça usando o botnet Bobik para conduzir seus ataques DDoS. No entanto, o grupo parece buscar principalmente a participação voluntariamente por meio de sua ferramenta DDOSIA – também conhecida por seu desenvolvedor como Dosia e Go Stresser, dependendo do versionamento.

Analisamos duas implementações diferentes de DDOSIA: uma implementação Python e uma implementação Golang. A implementação Python DDOSIA é fornecida como um pacote PyInstaller. A implementação Golang refere-se a si mesma internamente como Go Stresser.

DDOSIA é um aplicativo multiencadeado que realiza ataques de negação de serviço contra sites de destino emitindo repetidamente solicitações de rede. O DDOSIA emite solicitações conforme instruído por um arquivo de configuração que o malware recebe de um servidor C2 quando iniciado. O arquivo de configuração está no formato JSON e reside no /client/get_targetscaminho da URL no servidor C2. Os arquivos de configuração históricos podem ser revisados ​​nas respostas arquivadas do servidor de outubro e dezembro de 2022.

Para cada site de destino, o arquivo de configuração especifica:

• Um identificador de destino exclusivo no campo id.
• Informações de endpoint de rede de destino nos campos host, addresse port– um nome de host, um endereço IP e uma porta.
• Um tipo de solicitação de rede e pares de métodos nos campos typee method. As amostras DDOSIA e os arquivos de configuração que analisamos indicam que o malware suporta os tipos httpde solicitação , http2e tcp, e os métodos de solicitação – verbos HTTP – GETe POST(para os tipos de solicitação httpou http2) e syn(para o tipo de solicitação tcp). Com base em um tipo e método configurado, o DDOSIA constrói pacotes de rede HTTP ou TCP (solicitações) para enviar a um site de destino.
• Um caminho de URL e um corpo de solicitação nos campos pathe bodypara solicitações de rede do tipo httpou http2. Se os campos de caminho e/ou corpo tiverem valores, DDOSIA constrói e emite solicitações com o corpo de solicitação configurado para o caminho de URL configurado no site de destino.

DDOSIA substitui $_{number}substrings especificadas no arquivo de configuração por valores aleatórios que o malware gera ao construir uma solicitação de rede. Em um arquivo de configuração DDOSIA, as $_{number}substrings são normalmente colocadas em pathcampos. A implementação Python de DDOSIA usa modelos definidos no randomscampo no arquivo de configuração para gerar valores de string aleatórios.

Um arquivo de configuração DDOSIA especifica caminhos de URL e corpos de solicitação válidos nos respectivos sites de destino. Isso indica que os operadores DDOSIA constroem arquivos de configuração explorando primeiro os sites de destino. Por exemplo, o URL https://www.defensie[.]nl/actueel/nieuws?pagina={number}é um iterador de página de notícias válido no site do Ministério da Defesa holandês.

Existem recursos DDOSIA adicionais aos acima que um arquivo de configuração pode instruir o malware a habilitar. Por exemplo, o use_random_user_agentcampo instrui o DDOSIA a selecionar aleatoriamente um agente de usuário de uma lista de agentes de usuário predefinidos ao construir uma solicitação HTTP. activate_by_scheduleAlém disso , os campos started_ate finished_atindicam que uma amostra DDOSIA pode ser configurada para agendar o envio de solicitações de rede em intervalos de data e hora específicos. As amostras que analisamos não usam esses parâmetros de configuração, mas enviam repetidamente solicitações de rede para cada site de destino até serem encerradas.

Observamos que existem diferenças em relação a quais valores de configuração e recursos são suportados por diferentes compilações e implementações DDOSIA. Isso indica que o DDOSIA está em desenvolvimento contínuo e está sujeito a alterações frequentes.

Por exemplo, as implementações Golang DDOSIA que analisamos oferecem suporte ao tipo de solicitação de rede http2, enquanto suas contrapartes Python não implementam esse suporte.

Além disso, as implementações Golang DDOSIA se autenticam nos servidores C2 emitindo uma solicitação HTTP POST para o /login_newcaminho da URL nos servidores e terminam se a autenticação falhar. As implementações Python DDOSIA que analisamos não suportam esse recurso.

O DDOSIA mantém estatísticas sobre sua operação e taxa de sucesso – o malware conta o total e o número de solicitações de rede bem-sucedidas enviadas para cada site de destino. No contexto de solicitações de rede do tipo httpou http2, uma solicitação é considerada bem-sucedida se o site de destino retornar o código HTTP 200( OK).

O DDOSIA envia as estatísticas para o servidor C2 em intervalos de tempo regulares – isso informa os operadores do DDOSIA sobre o progresso geral e o sucesso da campanha de negação de serviço conduzida pelo malware. Isso provavelmente está associado a como o grupo faz uso de um programa de lucro voluntário. Eles distribuem criptomoedas para os principais contribuidores de DDoS, incentivando as pessoas a contribuir com mais recursos técnicos para um ataque mais poderoso.

Versões da ferramenta para macOS e Linux também foram desenvolvidas. Versões Android da ferramenta também podem ser encontradas; no entanto, a distribuição principal do grupo não oferece suporte oficial para dispositivos móveis.

Conclusão

NoName057(16) é mais um grupo hacktivista que surgiu após a guerra na Ucrânia. Embora não sejam tecnicamente sofisticados, eles podem ter um impacto na disponibilidade do serviço – mesmo quando geralmente de curta duração. O que esse grupo representa é um interesse crescente em ataques alimentados por voluntários, enquanto agora adiciona pagamentos a seus contribuidores mais impactantes. Esperamos que esses grupos continuem a prosperar no clima político altamente controverso de hoje.

Gostaríamos de agradecer à equipe de confiança e segurança do GitHub por uma resposta rápida após nossa notificação de abuso. As contas e páginas dos atores não estão mais online.

Indicadores de Compromisso

Indicador	Descrição
94d7653ff2f4348ff38ff80098682242ece6c407	Instalador codificado DDosia.py
e786c3a60e591dec8f4c15571dbb536a44f861c5	Instalador codificado DDosia.py
c86ae9efcd838d7e0e6d5845908f7d09aa2c09f5	Dezembro de 2022 DDosia PyInstaller
e78ac830ddc7105290af4c1610482a41771d753f	Dezembro de 2022 DDosia PyInstaller
09a3b689a5077bd89331acd157ebe621c8714a89	Julho de 2022 DDosia PyInstaller
8f0b4a8c8829a9a944b8417e1609812b2a0ebbbd	dosia_v2_macOSx64 – maio de 2022
717a034becc125e88dbc85de13e8d650bee907ea	dosia_v2_macOSarm64 – maio de 2022
ef7b0c626f55e0b13fb1dcf8f6601068b75dc205	dosia_v2_linux_x64 – maio de 2022
b63ce73842e7662f3d48c5b6f60a47e7e2437a11	dosia_v2.0.1.exe – maio de 2022
5880d25a8fbe14fe7e20d2751c2b963c85c7d8aa	dosia_v2.0.1 – maio de 2022
78248539792bfad732c57c4eec814531642e72a0	dosia_v2.exe – maio de 2022
1dfc6f6c35e76239a35bfaf0b5a9ec65f8f50522	dosia_win_x64.exe – janeiro de 2023
2.57.122.82	Servidor C2 – Sobrepõe-se às descobertas do Avasts Bobik
2.57.122.243	Servidor C2 – Sobrepõe-se às descobertas do Avasts Bobik
109.107.181.130	Servidor C2 – outubro de 2022 e anteriores. Sobreposições com descobertas do Avasts Bobik
77.91.122.69	Servidor C2 – dezembro de 2022
31.13.195.87	Servidor C2 – meados de dezembro até os dias atuais
tom56gaz6poh13f28[.]myftp.org	Domínio C2
zig35m48zur14nel40[.]myftp.org	Domínio C2
05716nnm@proton [.]eu	NoName057(16) Endereço de e-mail
hxxps://t[.]me/noname05716	NoName057(16) Canal Primário do Telegram (grupo aberto)
hxxps://t[.]me/nn05716chat	NoName057(16) Canal de telegrama secundário (grupo fechado)
hxxps://github[.]com/dddosia	Conta de hospedagem DDOSIA baixando o site GitHub Pages.
dddosia[.]github.io	Site oficial de download do DDOSIA vinculado à página do telegrama dos atores.
hxxps://github[.]com/kintechi341	Colaborador do kit de ferramentas DDOSIA

 

 

Fonte: Sentinelone