Hackers pró-Rússia usam guerra para recrutar hacktivistas

Da Redação
19/01/2023

Uma nova investigação realizada pela Avast sobre o projeto DDosia do grupo de hackers pró-Rússia conhecido como NoName(057)16 revela que o canal privado e dedicado ao projeto no Telegram tem cerca de mil seguidores, os quais o grupo chama de “heróis”, são incentivados a usar uma VPN e se conectar por meio de servidores fora da Rússia ou da Bielorrússia, pois o tráfego dos dois países é frequentemente bloqueado nos países visados pelo grupo. O NoName(057)16 também usa o canal para divulgar o projeto e convidar novos membros a se associarem.

A investigação é uma continuação da análise original do pesquisador da Avast, Martin Chlumecky, com relação aos ataques distribuídos de negação de serviço (DDoS) do grupo usando a botnet Bobik. A análise mais recente do servidor de comando e controle (C&C) do projeto DDosia, ao vivo de 1º de agosto a 5 de dezembro de 2022, revela que  o NoName(057)16 configurou o projeto enquanto usava a botnet, provavelmente como um plano de backup. O servidor da botnet foi desativado no início de setembro.

Além disso, a análise mostra que o grupo continua visando empresas privadas e públicas (tribunais, bancos, instituições educacionais, agências governamentais e serviços de transporte, por exemplo) na Polônia, Letônia e Lituânia, seguidas pela Ucrânia.

A Avast observou cerca de 1.400 tentativas de ataque DDoS por membros do projeto DDosia, 190 das quais foram bem-sucedidas. A taxa de sucesso atual do projeto é de aproximadamente 13%. A taxa de sucesso dos ataques aumentou em novembro, provavelmente devido a ataques direcionados a vários subdomínios pertencentes ao mesmo domínio principal. 

Geralmente, os múltiplos sites pertencentes ao mesmo domínio são executados no mesmo servidor. Se esse servidor estiver vulnerável a ataques, todos os subdomínios hospedados no servidor também estarão vulneráveis. Por exemplo, o grupo visava subdomínios pertencentes ao domínio .gov.pl, com a maioria dos quais executados na mesma plataforma, aumentando as suas chances de derrubar um servidor selecionado. Muitas das páginas visadas pelo grupo não contêm nenhum conteúdo anti-russo e não oferecem serviços críticos.

Os tais heróis DDosia podem vincular uma carteira de criptomoedas, usando um ID de usuário incluído no arquivo ZIP que eles recebem após o registro, para ganhar até 80 mil rublos russos (US$ 1.200) em criptomoedas pelos ataques DDoS realizados e bem-sucedidos.

Qualquer pessoa pode manipular as suas estatísticas de desempenho, pois a comunicação com o C&C não é criptografada e não autenticada.

A Avast detectou inúmeros usuários tentando baixar o executável DDosia, mas notou usuários Avast na Rússia, bem como no Canadá e na Alemanha agregando o programa à lista de exceções do Avast AV.

Veja isso
Polônia alega ser alvo de ataques cibernéticos de hackers pró-Rússia
Wipers disfaçados de ransomware atacam a Rússia

Segundo a empresa, um  herói do DDosia pode gerar aproximadamente 1.800 solicitações por minuto, usando quatro núcleos e 20 threads — dependendo da qualidade da conexão à Internet do invasor. Com cerca de mil membros, supondo que ao menos metade esteja ativa, a contagem total de solicitações para alvos definidos pode chegar a 900 mil solicitações por minuto. O suficiente para derrubar serviços web, que não esperam por um tráfego pesado na rede.

Arquivos de configuração contendo listas de sites para DDoS são alterados quatro vezes ao dia, em média. O número médio de domínios atacados é de 17 por dia.

A Avast assume que o grupo configurou um novo servidor C&C, depois que o primeiro servidor DDosia foi desativado. “Desde o início da guerra na Ucrânia, observamos chamadas nas mídias sociais para que as pessoas se envolvessem como hacktivistas e baixassem ferramentas DDoS com o objetivo de derrubar sites russos a fim de apoiar a Ucrânia”, disse Martin Chlumecky, pesquisador de malware da Avast. 

“Hoje, observamos diferentes aspectos motivacionais das pessoas que se juntam a grupos DDoS: por toda a Europa, sentimos o impacto financeiro da guerra russa. Para algumas pessoas, pode ser tentador ganhar algum dinheiro extra rapidamente. Observamos que alguns usuários em países como Canadá e Alemanha gostariam de se juntar ao grupo de hackers NoName(057)16, tentando baixar o arquivo executável DDosia e assim realizar os ataques DDoS. O arquivo está disponível apenas para membros verificados do grupo Telegram correspondente e foi enviado ativamente para a nossa lista de exceções AV por alguns usuários Avast”, concluiu ele.

Compartilhar: