Große Preise, Barangebote z. Hd. den Beitritt zum Vs.-Ukraine-Cyberangriffsprojekt „DDosia“.
[ad_1]
Eine russische Bedrohungsgruppe bietet Anreize und Kryptowährungspreise an, um Freiwillige aus dem Dark Web – die sie „Helden“ nennt – z. Hd. ihren Distributed-Denial-of-Tafelgeschirr (DDoS)-Cyberangriffsring zu rekrutieren.
Eine Posten namens NoName057(16) hat dasjenige Projekt namens DDosia ins Leben gerufen, dasjenige darauf abzielt, frühere Bemühungen zur Implementierung von DDoS-Angriffen hinaus Websites in jener Ukraine und pro-ukrainischen Ländern zu unterstützen. Anstatt jedoch zu versuchen, die ganze Arbeit selbst zu erledigen, „lockt DDosia Menschen dazu, sich ihren Bemühungen anzuschließen, während es Preise z. Hd. die besten Performer anbietet und Belohnungen in Kryptowährungen auszahlt“, schrieb Avast-Forscher Martin Chlumecký in einem Gebühr hinaus Avast.io „Decoded ” Internet-Tagebuch veröffentlicht am 11. Januar.
Avast-Forscher identifizierten NoName057(16) erstmals im September, denn sie hinaus die Ukraine gerichtete DDoS-Angriffe beobachteten, die die Posten unter Verwendung von Botnets durchführte. Die Kampagne richtete sich speziell an Websites von Regierungen, Nachrichtenagenturen, Armeen, Lieferanten, Telekommunikationsunternehmen, Verkehrsbehörden, Finanzinstituten und mehr in jener Ukraine sowie in Nachbarländern, die die Ukraine unterstützen, wie Estland, Republik Litauen, Norwegen und Polen.
Ein Fernzugriffstrojaner (RAT) namens Bobik war maßgeblich an jener Implementierung jener DDoS-Angriffe z. Hd. die Posten im ursprünglichen Überfall beteiligt, jener mit jener Schadsoftware eine Erfolgsquote von 40 v. H. hatte, sagten die Forscher.
Laut dem Telegram-Sender jener Posten geriet die Posten jedoch in ihre Pläne, denn dasjenige Botnet Werden September abgeschaltet wurde, sagten die Forscher. NoName057 startete daraufhin am 15. September DDosia, um denn Reaktion hinaus diesen Rückschlag hinaus die gleiche Posten von pro-ukrainischen Organisationen abzuzielen, sagten sie.
„Durch den Start des DDosia-Projekts hat NoName057(16) versucht, ein neues paralleles Botnetz zu erstellen, um DDoS-Angriffe zu vereinfachen“, schrieb Chlumecký in dem Postdienststelle. Dasjenige Projekt stellt untergeordnet vereinigen Dreh- und Drehpunkt z. Hd. eine öffentliche, anreizbasierte DDoS-Bemühung gegensätzlich dem geheimnisvolleren Bobik-Botnet dar, sagten die Forscher.
Technische Feinheiten von DDosia
Welcher DDosia-Client besteht aus einem Pythonschlange-Skript, dasjenige von NoName057(16) erstellt und gesteuert wird. Dasjenige DDosia-Tool ist nur z. Hd. verifizierte/eingeladene Benutzer oben eine halbgeschlossene Telegram-Posten verfügbar – zwei Paar Schuhe denn die Babik-Schadsoftware, sagten die Forscher. Ein weiteres Unterscheidungsmerkmal zwischen den beiden Bemühungen besteht darin, dass DDosia wohl keine zusätzlichen Hintertüraktivitäten aufweist, stellten sie Festtag. Bobik hingegen bietet umfangreiche Spyware-Funktionen, einschließlich Keylogging, Herüberbringen und Verfertigen von Prozessen, Vereinen von Systeminformationen, Herunterladen/Uploaden von Dateien und Bereithalten weiterer Schadsoftware hinaus infizierten Geräten.
Um ein DDosia-Mitglied zu werden, muss ein Volontär vereinigen Registrierungsprozess wiederholen, jener vom @DDosiabot im dedizierten Telegram-Sender erleichtert wird, sagten die Forscher. Nachdem jener Registrierung erhalten Mitglieder eine DDosia-Zip-File, die eine ausführbare File enthält.
NoName057(16) „empfehlt“ Freiwilligen außerdem „zeitkritisch“, vereinigen VPN-Client zu verwenden, „um sich oben Server von außen kommend von Russland oder Weißrussland zu verbinden, da jener Datenverkehr aus den beiden Ländern in den Zielländern jener Posten oft verkrampft wird“, schrieb Chlumecký.
Welcher Hauptserver von DDosia C2, jener in jener DDosia-Kampagne verwendet wurde, befand sich unter 109. 107. 181. 130; Es wurde jedoch am 5. Monat des Winterbeginns abgeschaltet, sagten Forscher. Da NoName057(16) weiterhin unter Strom stehend hinaus seinem Telegram-Sender postet, umziehen die Forscher davon aus, dass es ein weiteres Botnetz nach sich ziehen muss, sagten sie.
Die DDosia-Verwendung verfügt oben zwei Festtag codierte URLs, die zum Herunterladen und Uploaden von Information hinaus den C2-Server verwendet werden. Welcher erste wird verwendet, um eine verkettete Liste von Domain-Zielen herunterzuladen, die angegriffen werden, während jener zweite z. Hd. statistische Berichte verwendet wird, sagten die Forscher.
DDosia sendet die verkettete Liste jener Ziele denn unkomprimierte und unverschlüsselte JSON-File mit zwei Elementen an dasjenige Botnet: Ziele und Zufallszahlen, sagten die Forscher.
„Ersteres enthält ungefähr 20 Eigenschaften, die DDoS-Ziele definieren; jedes Ziel wird oben mehrere Attribute beschrieben: ID, Typ, Methode, Host, Steg, Leib und mehr“, schrieb Chlumecký. “Letzteres beschreibt, wie zufällige Zeichenfolgen oben Felder wie: Ziffer, obere, untere und minimale/maximale Ganzzahlwerte aussehen.”
DDosia generiert untergeordnet zufällige Werte zur Spieldauer z. Hd. jeden Überfall, wahrscheinlich weil Angreifer Hypertext Transfer Protocol-Anfragen randomisieren und jede Hypertext Transfer Protocol-Ansuchen z. Hd. eine bessere Erfolgsquote einzigartig zeugen wollen, sagten die Forscher.
Belohnung von DDoS-„Helden“
Welcher wichtigste neue Faktor von DDoS-Angriffen ist die Möglichkeit, dass Freiwillige, die sich an jener Kampagne beteiligen, belohnt werden, sagten die Forscher. Verbleibend vereinigen jener oben genannten technischen Aspekte jener Funktionsweise von DDosia sammelt NoName057(16) statistische Informationen oben durchgeführte Angriffe und erfolgreiche Versuche durch sein Netzwerk von Freiwilligen, die es „Helden“ nennt, sagten sie.
NoName057(16) zahlt jene Helden – von denen Chlumecký bemerkte, dass sie die Erfolgsstatistiken „leichtgewichtig“ verschleiern können – in Kryptowährungsbeträgen von solange bis zu Tausenden von Rubel oder dem Gegenwert von Hunderten von Dollar aus.
DDosia: Drohendes Disruptionspotenzial
Derzeit ist die Erfolgsrate jener DDosia-Kampagne niedriger denn die jener vorherigen Bobik-Kampagne, wodurch etwa 13 % aller versuchten Angriffe Ziele stören, sagten die Forscher.
Schon habe dasjenige Projekt “dasjenige Potenzial, zwischen richtiger Ausrichtung lästig zu werden”, schrieb Chlumecký. Die Posten hat derzeit etwa 1.000 Mitglieder; Wenn jene jedoch steigt, erwarten die Forscher, dass untergeordnet die Erfolgsrate steigt, sagten sie.
„Somit hängt jener erfolgreiche Überfall von jener Motivation ab, die NoName057(16) den Freiwilligen bietet“, erklärte Chlumecký.
Die Forscher schätzen, dass ein DDosia-„Held“ mit vier Kernen und 20 Threads etwa 1.800 Anfragen pro Minute generieren kann, wodurch die Leistungsfähigkeit jener Anfragegenerierung von jener Qualität jener Internetverbindung des Angreifers abhängt. Unter jener Hypothese, dass mindestens die Hälfte jener aktuellen Mitgliederbasis unter Strom stehend ist, bedeutet dies, dass die Gesamtzahl jener Anfragen an definierte Ziele solange bis zu 900.000 Anfragen pro Minute betragen kann, sagten die Forscher.
„Dasjenige kann ausreichen, um Webdienste lahmzulegen, die keinen stärkeren Netzwerkverkehr erwarten“, bemerkte Chlumecký. In jener Zwischenzeit „sind Server, die eine hohe Netzwerkaktivitätslast erwarten, widerstandsfähiger gegen Angriffe“, fügte er hinzu.
“Aufgrund der Tatsache jener sich entwickelnden Natur von DDosia und seines schwankenden Netzwerks von Freiwilligen wird nur die Zeit zeigen, wie triumphierend DDosia letztendlich sein wird”, sagte Chlumecký.
Tatsächlich hat Russlands Überfall hinaus die Ukraine im Februar 2022 die DDoS-Angriffe hinaus ein Allzeithoch unruhig und es Angreifern ermöglicht, digitale und IT-bezogene Störungen in einem Cyberkrieg zu verursachen, jener seitdem Beginn neben dem Bodenkrieg geführt wird.
NonName057(16) in Besitz sein von zu einer Schlange von Bedrohungsgruppen, die jene Angriffe realisieren, obwohl sie zu den weniger ausgeklügelten in Besitz sein von, deren Angriffe zu diesem Zeitpunkt geringe Auswirkungen nach sich ziehen und nur geringen Schaden auftischen, sagten die Forscher.
Chlumecký verglich die Posten mit einem anderen pro-russischen Bedrohungsakteur Killnet, dessen Aktivitäten darauf abzielen, die Rücksicht jener Medien hinaus sich zu ziehen: „NoName057(16)-Aktivitäten sind immer noch lieber lästig denn gefährlich.“