Исследователи информационной безопасности из Radware сообщили об обнаружении хакерского проекта под названием «DDOSIA», в рамках которого добровольным участникам DDoS-атак на западные компании выплачивается денежное вознаграждение. Из отчета компании следует, что за созданием DDOSIA стоит русскоязычная киберпреступная группа NoName057(16), заявившая о себе марте 2022 года.
В середине августа группировка анонсировала в своем канале в Tellegram «специальное программное обеспечение», которое поможет им в проведении DDoS-атак. В течение следующих нескольких дней таковое действительно стало доступным для скачивания на GitHub.
Инструкции, общедоступные на dddosia.github.io, объясняют, как потенциальные участники могут зарегистрироваться через Telegram, чтобы получить ZIP-архив, содержащий двоичный файл бота Windows с именем «dosia.exe» и файл с уникальным идентификатором с именем «client_id.txt». Уникальный идентификатор позволяет участнику создать псевдоним для составления рейтинга атакующих, в то время как регистрация криптокошелька требуется для получения потенциального финансового вознаграждения для самых активных участников.
После того, как бот-агент «dosia.exe» запускается на компьютере участника с Windows, бот регистрируется в инфраструктуре управления и контроля (C2) авторов. Впоследствии серверы C2 передают боту список целей, после чего вредоносное программное обеспечение начинает атаковать предоставленные цели с помощью атак типа «отказ в обслуживании» с шифрованием TLS уровня 7 и TCP-SYN.
В Radware отмечают, что от всех ранее известных подобных проектов, рассчитанных исключительно на добрую волю хактивистов, инициативу NoName057(16) отличает выплата денежного вознаграждения самым активным участникам.
Ссылаясь на скриншоты с каналов злоумышленников, Radware пишет, что за первое место участник получает 80 тыс. руб., за второе – 50 тыс. руб., а за третье – 20 тыс. руб. «Волонтеры», занявшие места с четвертого по десятое, делят между собой еще 50 тыс. руб.
Эксперты резюмируют, что в настоящее время DDOSIA насчитывает около 400 участников и остается полузакрытой группой, доступной только по приглашениям, которая регулярно атакует более чем 60 военных и образовательных организаций.
При этом в Radware выражают обеспокоенность тем, что финансовый стимул позволит NoName057(16) привлечь к DDoS-атакам массу добровольцев, и может задать тренд для других DDoS-группировок.
С заботой о вашей безопасности, команда Origin Security
