HackerNews 编译,转载请注明出处:
NoName057(16),亦被称为05716nnm或NoName05716,已成为针对北约成员国和欧洲组织的重要威胁。
该组织起源于俄罗斯青年环境研究与网络监控中心内的一个秘密项目,自2022年3月以来一直积极实施分布式拒绝服务攻击。
该组织在俄罗斯联邦青年事务署领导层的支持下运作,并遵从俄罗斯政府利益的指导,已将自己定位为反对俄罗斯地缘政治目标的西方机构的主要网络威胁。
该组织的主要攻击能力依赖于DDoSia项目,这是一个通过Telegram频道招募志愿者的众包僵尸网络。
志愿者会获得易于使用的基于Go语言的攻击工具,并因其参与而获得加密货币奖励。这种基于志愿者的模式在针对不同目标扩大攻击规模方面已被证明非常有效。
DDoSia与传统僵尸网络的不同之处在于其简单性,使得技术专长有限的个人也能参与协调攻击。
到2024年,NoName057(16)通过与其他亲俄罗斯的黑客行动主义团体合作扩大了影响力,其中尤其值得注意的是"俄罗斯重生网络军",该组织最终促成了Z-Pentest于2024年9月成立。
Picus Security的分析师发现了支撑DDoSia攻击基础设施的复杂两阶段通信协议。
技术机制
系统首先通过向命令与控制服务器的 /client/login 端点发送HTTP POST请求进行客户端认证,客户端在此过程中传输加密的系统信息,包括操作系统详情、内核版本和CPU规格。
在收到包含UNIX时间戳的200 OK响应(表明认证成功)后,客户端进入第二阶段,通过向 /client/get_targets 发送GET请求来获取目标配置。
该运营基础设施采用了旨在规避检测和缓解的弹性多层架构。第一层由面向公众的命令与控制服务器组成,直接与DDoSia客户端通信,这些服务器的平均寿命约为9天,不过许多会每日轮换。
第二层后端服务器维护核心逻辑和目标列表,其访问权限通过访问控制列表严格控制,仅允许来自授权第一层服务器的连接。
这种隔离确保了即使第一层节点被识别和封锁,核心基础设施仍能保持运行。
分析显示其运营节奏很快,平均每天攻击50个独特目标,且活动模式与俄罗斯标准工作时间高度相关。
乌克兰遭受的攻击占比最大,为29.47%,其次是法国(6.09%)、意大利(5.39%)、瑞典(5.29%)和德国(4.60%)。政府部门占攻击目标的41.09%,交通和电信部门也受到严重影响。
消息来源:cybersecuritynews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
