Prorusiška programišių grupė NoName057 (16) nusitaikė į proukrainietiškas organizacijas Ukrainoje kartu su kaimyninėmis šalimis, tokiomis kaip Estija, Lietuva, Norvegija ir Lenkija.

„Avast“ tyrimų komanda stebi veiklą NoName057 (16), Įsilaužimų grupė, kuri, kaip žinoma, nuo 2022 m. birželio 1 d. diegia išskirtinai paskirstytą paslaugų atsisakymą (DDoS). Tyrėjai išsiaiškino, kad grupė nusitaikė į Ukrainos naujienų serverius, o vėliau sutelkė dėmesį į svetaines Ukrainoje, priklausančias miestams, vietos valdžiai, komunalinių paslaugų įmonėms ir ginklų gamintojai, transporto įmonės ir pašto skyriai.

Iki birželio vidurio atakos tapo labiau politiškai motyvuotos, nes grupė pradėjo atakas prieš ypatingos svarbos infrastruktūros objektus. Baltijos šalys (Lietuva, Latvija ir Estija) buvo smarkiai nusitaikę NoName057 (16).

Uždraudus prekių, kurioms taikomos ES sankcijos, tranzitą per savo teritoriją į Kaliningradą, NoName057 (16) Ji buvo skirta Lietuvos transporto įmonėms, vietinių geležinkelių ir autobusų bendrovėms.

2022 metų liepos 1 dieną Norvegijos valdžia sustabdė Rusijos vyriausybei priklausančioje anglių kasybos įmonėje „Arktikugol“ dirbantiems kalnakasiams skirtų prekių gabenimą. Atsakydama į tai, „Avast“ tyrimų grupė nustatė NoName057 (16) Ji atsakė puldama Norvegijos vežėjus (Kystverket, Helitrans, Boreal), Norvegijos pašto tarnybą (Posten) ir Norvegijos finansų institucijas (Sbanken, Gjensidige). Rugpjūčio pradžioje, Suomijai paskelbus apie ketinimą prisijungti prie NATO, NoName057 (16) persekiojo Suomijos valdžios institucijas, tokias kaip Suomijos parlamentas (Eduskunta), Valstybės Taryba ir Suomijos policija.

„NoName057“ (16) aktyviai gali pasigirti sėkmingomis DDoS atakomis daugiau nei 14 000 sekėjų „Telegram“. Jų kanalas buvo sukurtas 2022 m. kovo 11 d., o grupė praneša tik apie sėkmingas DDoS atakų kampanijas.

„Avast“ kenkėjiškų programų tyrinėtojas Martinas Chlumecky aiškina, kad nors sėkmingų atakų, apie kurias pranešta grupė, skaičius atrodo didelis, statistinė informacija rodo ką kita, nepaisant teigiamo 40 procentų grupės sėkmės rodiklio.

„Mes palyginome taikinių, kuriuos komandų ir valdymo serveris siunčia Bobik robotams, sąrašą su tuo, ką grupė skelbia savo Telegram kanale.

Svetainės, esančios gerai apsaugotuose serveriuose, gali atlaikyti atakas.

„Apie 20 procentų atakų, už kurias grupė teigia esanti atsakinga, neatitiko jos konfigūracijos failuose išvardytų taikinių. Chlumecky pasakė.

Bobik robotai dirba kaip kariai

Grupė kontroliuoja neapsaugotus kompiuterius visame pasaulyje, užkrėstus kenkėjiška programa Bobik, kuri veikia kaip robotai. Bobik debiutavo 2020 m. ir anksčiau buvo naudojamas kaip nuotolinės prieigos įrankis. Kenkėjišką programą platina lašintuvas, vadinamas Redline Stealer, kurį kibernetiniai nusikaltėliai moka botnet’ams kaip paslaugą, skirtą platinti pasirinktą kenkėjišką programą.

Avast apsaugojo kelis šimtus Bobik robotų, tačiau Chlumecky apskaičiavo, kad gamtoje yra keli tūkstančiai Bobik robotų, atsižvelgiant į atakų efektyvumą ir dažnumą.

Grupė siunčia komandas savo robotams per C&C serverį, esantį Rumunijoje. Anksčiau grupė turėjo du papildomus serverius Rumunijoje ir Rusijoje, tačiau jie nebėra aktyvūs. Botai gauna DDoS taikinių sąrašus XML konfigūracijos failų pavidalu, kurie atnaujinami tris kartus per dieną. Jie bando perkrauti prisijungimo puslapius, slaptažodžio atkūrimo svetaines ir svetainių paieškas. Priepuoliai trunka nuo kelių valandų iki kelių dienų.

Atakų poveikis

Sėkmingiausios grupinės atakos neveikia svetainės nuo kelių valandų iki kelių dienų. Norėdami susidoroti su atakomis, mažų ir vietinių svetainių operatoriai dažnai blokuoja užklausas iš ne savo šalies. Ypatingais atvejais kai kurie svetainių, kurioms taikoma grupė, savininkai išregistravo savo domenus.

Chlumecky teigimu, NoName057 (16) įvykdytų DDoS atakų stiprumas yra mažų mažiausiai ginčytinas.

Vienu metu jie gali veiksmingai išbraukti apie 13 URL vienu metu, remdamiesi konfigūracijos istorija, įskaitant padomenius.

Be to, viena XML konfigūracija dažnai apima konkretų domeną kaip subdomenų rinkinį, todėl Bobik veiksmingai atakuoja penkis skirtingus domenus vienoje konfigūracijoje.

„Taigi jie negali sutelkti dėmesio į daugiau sričių dėl pajėgumų ir efektyvumo priežasčių“, Chlumecky pasakė.

Įdiegtas DDoS atakas buvo sunkiau susidoroti su kai kurių svetainių operatoriais aukšto lygio ir svarbiose srityse, pvz., bankais, vyriausybėmis ir tarptautinėmis įmonėmis.

Po sėkmingos atakos „Avast“ tyrėjai pastebi, kad didelės įmonės diegia įmonių sprendimus, tokius kaip „Cloudflare“ ar „BitNinja“, kurie daugeliu atvejų gali filtruoti gaunamą srautą ir aptikti DDoS atakas. Kita vertus, dauguma didelių pasaulinių kompanijų tikisi didesnio srauto ir savo žiniatinklio serverius paleidžia debesyje su anti-DDoS sprendimais, todėl jos tampa atsparesnės atakoms. Pavyzdžiui, grupei nepavyko pašalinti svetainių, priklausančių Danijos „Danske Bank“ (2022 m. birželio 19–21 d. ataka) ir Lietuvos bankui SEB (2022 m. liepos 12–13 d. ir 2022 m. liepos 20–21 d. ataka).

Avast tyrimas taip pat parodė, kad sėkmingiausios NoName057 (16) atakos paveikė įmones, turinčias paprastas informacines svetaines, įskaitant, pavyzdžiui, apie mus, svarbius ir kontaktinius puslapius. Tokių svetainių serveriai paprastai nėra skirti labai apkrauti ir dažnai neįdiegti anti-DDoS metodų, todėl juos lengva naudoti.

Kaip įmonės ir vartotojai gali apsisaugoti

„Avast“ tyrėjai teigia, kad įmonės gali apsaugoti savo svetaines nuo DDoS atakų naudodami specializuotą programinę įrangą ir apsaugą nuo debesies.

Vartotojai gali neleisti, kad jų įrenginiai būtų naudojami kaip robotų tinklo dalis su patikima antivirusine programine įranga. Papildomi veiksmai, kurių vartotojai gali imtis norėdami apsaugoti savo įrenginius, yra vengti spustelėti įtartinas nuorodas ar priedus el. laiškuose ir reguliariai atnaujinti programinę įrangą, kad būtų ištaisytos pažeidžiamumas.

Labai sunku žinoti, ar įrenginys naudojamas DDoS atakai palengvinti, tačiau gali būti, kad tinklo srautas kyla į nežinomą vietą.

[Related: Clare O’Neil’s push for cyber security migration visas]