Как "эксперты" Radware в DDoSia Project внедрялись и что из этого вышло(спойлер: НИЧЕГО!)
https://t.me/noname05716Предыстория: Как-то на просторах Сети нам попалась статья о нашей команде, подкупающая своим заголовком. В нем было сказано, что два каких-то засланца от Radware проникли в наш волонтерский проект DDoSia Project! Интересно, согласитесь…
Мы изучили эту статью и выкладываем ее текст в переводе на русский с нашими комментариями.
Инсайдеры Intel действуют под прикрытием, раскрывая свежие подробности операций хактивистов NoName
Спойлер: никаких «подробностей» эти «инсайдеры» в реальности, конечно же, не раскрыли.
В эксклюзивном интервью Black Hat для Cybernews два исследователя угроз Radware представили «хактивистов под прикрытием» в образе сторонников пророссийских сочувствующих, раскрыв новое понимание внутренней работы кибертеррористической банды NoName057(16).
«Значение NoName для нас, если вы посмотрите на количество атак, которые они совершают, намного больше, чем, например, Anonymous Sudana или даже Killnet», — заявили исследователи Radware, пожелавшие остаться анонимными из соображений безопасности.
Назвав Killnet медиа-подкованностью, исследователи отметили, что «Killnet часто попадает в новости, но на самом деле, с точки зрения атак и таргетинга, они больше не делают этого».
Анонимный Судан и Killnet, чей самопровозглашенный лидер известен как Killmilk, — это всего лишь две известные пророссийские группы хактивистов, которые активно нацелены на Украину и Запад после российского вторжения прошлой весной — но об этом позже.
Не комментируем деятельность других группировок. Всегда отвечали и будем отвечать только за себя. Но лучше всего о нас скажут наши дела.
Два неназванных инсайдера сели со мной, чтобы рассказать свою историю в последний день съезда Black Hat USA, усевшись за случайный столик на полу заполненного вещами Бизнес-холла, вдали от суматохи.
Читатели Cybernews впервые увидят здесь визуальные материалы, сопровождающие их исследование — For Intel and Profit: Exploring the Russian Hacktivist Community.
От понимания постоянно меняющегося российского хактивистского ландшафта до документирования постоянного потока постоянных атак NoName — эти гуру безопасности на собственном опыте доказали, что краудсорсинговая платформа банды «DDoSia» обеспечивает стабильный поток крипто-выплат обычным гражданам, которых объединяет только одно: они презирают Украину и любых ее западных сторонников.
Да, нас действительно можно по праву считать «гуру безопасности» - мы уделяем максимальное внимание информационной безопасности нашего проекта и его участников. А вот про «презирают Украину» - это абсолютно не так. Презираем мы укронацистов, руки которых по локоть в крови, а также всех их пособников и спонсоров, не более.
Кроме того, по словам дуэта, в ближайшее время это не остановится.
«…в ближайшее время это не остановится…» - да, наши атаки не остановятся до тех пор, пока мы не одержим победу на информационном фронте войны, развязанной Западом против России.
Кто такой NoName057(16)?
Прежде чем мы углубимся в недавно обнаруженные операции банды, давайте кратко охарактеризуем эту стойкую группу злоумышленников и выясним, чем они занимались с тех пор, как впервые вышли на сцену в марте 2022 года, и совсем недавно.
Начнем с того, что исследование Radware показывает, что NoName доминировал в среде пророссийских хактивистов в первой половине 2023 года, осуществив колоссальные 1174 атаки в 32 западных странах всего за 176 дней.
«С начала года и даже под прошлым годом, с октября, они безостановочно атаковали от пяти до 20 различных целей каждый день, непрерывно», — сказал один исследователь.
Из 15 групп хактивистов, указанных ниже, NoName несет ответственность за более чем 31% всех атак.
Более 1/3 от общего числа всех атак против русофобов – солидно, но это они еще далеко не все наши атаки подсчитали!
Распределенные атаки типа «отказ в обслуживании» или DDoS- атаки NoName, когда веб-сайт или сеть переполняются трафиком, чтобы нарушить их нормальную работу, часто рассматриваются специалистами по безопасности скорее, как неудобство, чем как серьезная угроза, влияющая на бизнес-операции.
Из-за наших DDoS-атак были парализованы работы онлайн-банкинга в некоторых странах Европы на несколько суток. Мы нарушали онлайн-продажи билетов на общественный транспорт. Если "эксперты" не считают это "серьезной угрозой", тот тут остается лишь посочувствовать им.
Тем не менее, команда Radware говорит, что уровень атак изменился вместе с тактикой группы, которая в прошлом также включала порчу целевых веб-сайтов.
«Я вижу, как они переходят от атак неудобств к большему количеству услуг. Они лучше выбирают услуги», — говорят исследователи.
NoName начал сосредотачиваться на более важной инфраструктуре, такой как транспортный и финансовый секторы, а также на государственных учреждениях.
Это правда – мы выбираем самые критичные цели для нанесения максимального ущерба экономике русофобов!
Даже во время написания этого отчета банда заявила, что Генеральное управление государственных финансов Франции стало последней жертвой DDoS в своем зашифрованном канале Telegram.
Пока эксперты пишут отчеты, мы атакуем цели. Все логично.
NoName057(16) — официальное название группы — может похвастаться более чем 55 тысячами подписчиков на каналах с русской и английской версиями, однако и у Anonymous Sudana, и у Killnet их число более, чем вдвое или почти вдвое больше на момент написания этого поста.
Злоумышленник в первую очередь объявляет обо всех своих атаках на Telegram практически одновременно с ними и без предупреждения.
Это противоречит другим группам хактивистов, таким как Anonymous Sudan, которые, как правило, получают удовольствие от подготовки к атаке почти так же, как и от самой атаки.
Вместо того, чтобы насмехаться над своими жертвами и устраивать в социальных сетях большое шоу о том, на кого он планирует нацелиться и когда именно это произойдет, NoName серьезно относится к своей игре и, похоже, полностью занимается бизнесом.
И, в отличие от других пророссийских группировок, таких как Killnet, которые регулярно публикуют мемы и кремлевские пропагандистские видео в своем Telegram-канале, чтобы взбесить свою базу подписчиков, NoName размещает исключительно свой фирменный логотип — русский бурый медведь и клеймо с когтями.
За последние несколько недель NoName успешно атаковал банковскую систему Италии, отключив по крайней мере шесть крупных банков и нарушив инфраструктуру почти дюжины украинских банковских веб-сайтов в рамках альтернативной четырехдневной кампании атаки.
Подчеркнем, что ущерб от этих наших атак составляет миллионы евро. Вот чего стоит русофобам спонсирование бандеровских террористов!
Другие атаки были нацелены на критическую инфраструктуру в Польше, Дании, Литве и французском парламенте, а также почти дюжина атак на финансовый и авиационный секторы Швейцарии этим летом.
В июне NoName также взломал некоторые из крупнейших европейских портов в Италии, Германии, Испании и Болгарии.
Эксперты Radware заявили, что банда хактивистов также начала «проводить много исследований», прежде чем проводить свои индивидуальные атаки.
Исследователи обнаружили, что одна из тактик NoName включает в себя изучение целевого веб-сайта, чтобы определить, какие общие переменные сайт ожидает ввода пользователями в свои HTML-формы.
Аналитика и подготовка у нас действительно на высочайшем уровне - в этом залог успеха наших атак.
Переменные могут включать личную информацию, такую как имена, номера телефонов, адреса электронной почты или другой текст.
«Что бы ни ожидал веб-сайт, они [NoName} будут вводить рандомизированные данные, но в пределах того, что ожидает веб-сайт», — объяснили исследователи. После ввода данных «брандмауэр веб-приложения проверит, как выглядит запрос лайк», чтобы убедиться, что он соответствует «всем параметрам».
Обычно брандмауэр приложений «удаляет плохие, потому что вы не можете ввести очень длинный номер в качестве номера телефона, пытающегося использовать эксплойт, верно? Вы этого не хотите», — сказали они.
«Они [NoName} достаточно умны, чтобы поместить нужную переменную в нужное место, чтобы их невозможно было обнаружить, затем они запускают эту атаку с нескольких клиентов, и это делает их успешными», — сказали эксперты.
Да, мы действительно «достаточно умны», даже более, чем «достаточно»!
В своей последней атаке на украинские банки группа не только полностью отключила несколько банковских веб-сайтов и мобильных сервисов, но также выборочно атаковала отдельные поддомены, такие как службы авторизации, порталы входа, системы обслуживания клиентов и службы обработки кредитов в других местах. банки, предположительно, чтобы оказать еще более существенное влияние на финансовые операции.
Влияние наших атак на оффлайн – это главная цель. И достигаем мы ее, достаточно часто.
Политически мотивированное «пить деньги»
Что делает NoName уникальным — помимо того, что они не связаны с каким-либо другим пророссийским коллективом — так это то, что их поддерживает группа добровольцев, набранных из даркнета.
Злоумышленники призвали этих «героев»-хактивистов в начале января, предложив финансовые поощрения, выплачиваемые в криптовалюте, по сообщениям, на сотни, если не тысячи долларов США.
Но до сих пор не было доказано, что группа действительно платила за помощь в проведении своих ежедневных целевых атак ботов.
В реальности проект DDoSia Project был запущен не в январе, а гораздо раньше. И да, - наша волонтеры – это часть нашей команды. Причем, присоединиться к нам может каждый! Вот ссылка на группу проекта.
По словам команды Radware, «Проект DDoSia» Noname — это просто краудсорсинговый ботнет, состоящий из политически мотивированных хактивистов, которые более чем готовы загрузить и установить бота на свои компьютеры в надежде на хвастовство и немного криптовалюты.
Кадры решают все. Наши волонтеры - явно не хвастуны и не за этим приходят в проект. Они солдаты, которые воюют не за награды. Ни о каком «хвастовстве» в хакерской субкультуре речи не может быть априори. Хорошие дела в нашем контексте, действительно, любят тишину.
Итак, во имя исследования два эксперта по безопасности создали поддельный профиль, присоединились к более чем 11 тысячам других добровольцев, следящих за каналом группы DDoSia в Telegram, и загрузили подробные инструкции о том, как принять участие в экспериментальной «геймификации».
Инструкция от группы угроз, написанная еще в феврале, просит своих героев любезно загрузить на свои компьютеры «специальное программное обеспечение», которое при совместном запуске «повысит силу воздействия на цели, выбранные командой NoName57(16)». (сайты недружественных РФ стран)».
По сути, создание ботнета из тысяч зараженных компьютеров для NoName для проведения изощренных DDoS-атак на своих жертв.
«Каждый доброволец может загрузить его для своего Mac или для своего рабочего стола дома, они могут установить его на мобильный телефон и запустить с мобильного телефона Android», — сказали исследователи.
Да, у нас все просто – скачал софт, запустил по инструкции и все! Ребенок справится!
Расширенная формула выплат? Установленная сумма предназначена для разделения между всеми ежедневными пользователями, участвующими в атаке, а также вознаграждает участников большим количеством криптовалюты в зависимости от того, насколько успешной была атака в соответствии со схемой.
Отметим, что абсолютное большинство наших бойцов воспринимают вознаграждения, как «пайковые». Военнослужащим на реальной войне гарантированы выплаты, вот и у нас, на войне информационной, тоже есть свои выплаты!
В качестве дополнительного стимула для волонтеров NoName пообещал выплачивать «вознаграждение» каждые X дней в биткойнах (группа в конце концов перешла на неотслеживаемую криптовалюту под названием TON).
Но самым интересным фактом, по словам исследователей, было открытие того, что хакеры-добровольцы могут легко манипулировать всей системой выплат, чтобы получить бесплатную криптовалюту. Эти двое успешно использовали эту нераскрытую информацию, чтобы оставаться незамеченными на протяжении всего расследования.
«Мы посмотрели на бота, он был написан на Python, что позволяло очень легко получить доступ к коду, выполнить оператор печати и точно распечатать код», — сказали они.
«В коде мы увидели, что была не просто загрузка целей, но как только бот начинает атаковать каждые две минуты, он собирает статистику, выгружает ее на сервер и привязывает к идентификатору клиента, который вы зарегистрировали в своем боте. ", - сказал один из исследователей.
Вот как они отслеживают атаки, которые вы совершаете, рассказали двое.
«Конечно, это код Python, каждый может прочитать код Python. Вы смотрите в код Python, как вы представляете количество атак? Потому что вы можете подделывать. они платят, за это можно получить деньги", - пояснили они.
Дуэт сказал, что они поняли, что они не единственные, кто делает это. Они видели, как другие выясняли это, создавали симуляцию и отправляли ложные атаки.
И это было очевидно, потому что сообщалось о количестве атак, говорят исследователи. Некоторые из них были заоблачными по сравнению с другими добровольцами, которые затем начали обвинять друг друга в несправедливости.
Все эти фантазии не имеют отношения к реальности – наша система по борьбе с накрутками совершенствуется ежедневно и отсекает всю подозрительную активность. Никакого Python в нашем софте также нет.
Сначала исследователям не платили за сообщения об атаках. Эти двое предположили, что NoName опасается, что, если она заплатит добровольцам в биткойнах, криптовалютную транзакцию можно будет легко отследить до злоумышленников.
Эти двое, используя поддельный профиль Enqjner, также начали манипулировать своими смоделированными сообщениями, чтобы они выглядели более правдоподобно, сообщая как о большом, так и о меньшем количестве атак.
«Мы поднимались и опускались в рейтинге», — сказали они.
Этим двоим действительно платили несколько раз — называя это выпивкой денег из России — после того, как банда хактивистов переключилась на криптовалюту TON с открытым исходным кодом для выплаты.
«В зависимости от дня, насколько велика конкуренция, потому что то, что они делают, они суммируют все это, а затем как бы подсчитывают среднее значение за день. Так что двенадцатого это всего три доллара, а 16 апреля хороший день. Так вот как эти актеры могут зарабатывать деньги», — сказали они.
Enqjner – мы помним, как банили этот аккаунт, но об этом авторы статьи решили скромно умолчать.
По иронии судьбы, TON расшифровывается как Telegram Open Network, но больше не управляется службой обмена сообщениями. Дуэт сказал, что его практически невозможно отследить. Они просто попадают на ваш счет из Telegram, поэтому невозможно увидеть, откуда поступают деньги.
Исследователи надеялись использовать биткойн-платежи как способ узнать больше об операциях NoName, «отслеживая входящие и исходящие транзакции, выясняя, кому заплатили больше всего, в основном раскрывая все», — сказали они.
«Эксперты надеялись…» - но в итоге сели в лужу.
Но в конце концов NoName услышит слухи и изменит свои механизмы, напишет более продвинутый код и добавит больше проверок безопасности. По мере того, как группа угроз начала внимательно следить за тем, у кого были настоящие атаки, а у кого нет, исследователям стало труднее уточнять данные отправки.
Все перечисленное уже давно реализовано и работает, как часы.
К сожалению, эти двое также заявили, что взлеты и падения рынка криптовалют не работают в их пользу. Один исследователь сказал, что они «заработали примерно 630 долларов, а в итоге вышло всего 300 долларов».
И тут «экспертам» не повезло…))))
Что в будущем?
Одна деталь, в отношении которой исследователи были непреклонны, заключалась в том, что они не знали, откуда поступают деньги для выплат.
Здесь можно ставить крест на всех домыслах и конспирологических теориях экспертов – все, что они нафантазировали – недоказуемо и необъективно, в прочем, как всегда, когда очередные русофобы пытаются оклеветать русских хакеров.
«Мы предполагаем, что это исходит, знаете ли, из Кремля, я имею в виду, мы предполагаем, что это исходит от правительства», — сказали они.
Все, что наносит ущерб или как-то мешает русофобам в любой части земного шара – конечно же, «исходит из Кремля». Во всем и всегда «виноваты русские». Что-нибудь новое хотя бы придумали – скукотища…)))
Еще одно замечание, сделанное этими двумя, заключалось в том, что деэскалация этих групп хактивистов в будущем маловероятна и что, предположительно, больше групп будет использоваться в качестве доверенных лиц для национальных государств по всему миру.
Рост и эволюция политически мотивированных кибератак в результате российско-украинской войны стали нормой.
«Эксперты» убежденно замалчивают, что эту войну начал Запад. Как и большинство многих других войн и конфликтов, кстати.
«Это вроде как дымовая завеса, вы не знаете, они хактивисты или спонсируются государством? Плюс определение спонсируемого государством, это просто деньги или разведданные?», — сказал один исследователь.
Изображение, опубликованное подписчиком DDoSia в Telegram, 9 августа 2023 г. «NoName57», глава отдела исследований, напечатано на значке Black Hat, принадлежащем неизвестному участнику. Нет никаких правил относительно того, какое имя вы можете указать на своем бейдже при регистрации на хакерскую конференцию, которая проходила в Лас-Вегасе с 5 по 10 августа 2023 года.
«Я не думаю, что она закончится в ближайшее время. Я вижу, что война в какой-то момент закончится, но эти группы все еще остаются», — сказал исследователь.
Да, господин эксперт. Пока ваши власти будут снабжать бандеровских террористов оружием и деньгами, мы будем крушить западные экономики. И победим. Обязательно победим.
Они отметили, что часть проблемы заключается в том, что правительства обеих сторон в настоящее время не применяют никаких законов, касающихся DDoS-атак.
«Пять лет назад [сценарные] дети, запускающие DDoS-атаки, были бы немедленно арестованы, почти кажется, что они никого не арестовывают», — сказали они.
«Мы не видели социального заявления, это сногсшибательно. Ни один официальный представитель США не просит этих детей не скачивать эти инструменты, не слушать [украинскую] ИТ-армию и не атаковать Россию», — продолжил исследователь. «Пока вы находитесь в Соединенных Штатах, вы нападаете на Россию, все в порядке. Если вы в России нападаете на Запад, это нормально».
«В киберпространстве проводятся четкие линии», — добавили они.
Что касается самого NoName: «Я никогда не видел, чтобы эта группа останавливалась. Она слишком большая, на кону слишком много денег», — согласились они оба.
Вот это самый главный тезис – Мы никогда не останавливаемся. Били, бьем и будем бить врага! И никакие деньги тут не причем.
Слава России!!!!
Подписывайтесь на наш Telegram-канал! Будет интересно!
P.S: скоро мы обновим наш волонтерский проект DDoSia Project на радость всем "экспертам" и русофобам! Ждите)