Projet DDosia : des volontaires mènent des attaques DDoS au nom de NoName(057)16

De nouvelles recherches sur le projet DDosia du groupe de pirates pro-russe NoName(057)16 ont été publiées sur le blog d’Avast Decoded. Le projet DDosia est un groupe de volontaires qui mène des attaques DDoS au nom de NoName(057)16. Cette recherche fait suite à l’analyse initiale de Martin Chlumecky, chercheur chez Avast, sur les attaques DDoS menées par le groupe à l’aide du botnet Bobik.

La dernière analyse du serveur C&C du projet DDosia, du 1er août au 5 décembre 2022, révèle que :

– Par exemple, le groupe a ciblé des sous-domaines appartenant au domaine.gov.pl, dont la plupart fonctionnent sur la même plate-forme, ce qui augmente leurs chances de mettre hors service un serveur sélectionné.

– La plupart des pages ciblées par le groupe ne contiennent pas de contenu anti-russe et ne proposent pas de services critiques.

– Le canal Telegram privé et dédié au projet compte environ 1 000 adeptes, que le groupe qualifie de “héros”. Les membres sont encouragés à utiliser un VPN et à se connecter via des serveurs situés en dehors de la Russie ou du Belarus, car le trafic en provenance de ces deux pays est souvent bloqué dans les pays ciblés par le groupe.

Martin Chlumecky, chercheur en logiciels malveillants chez Avast, déclare : « Dès le début de la guerre en Ukraine, nous avons vu des appels sur les médias sociaux pour que les gens s’engagent comme hacktivistes et téléchargent des outils DDoS pour faire tomber les sites Web russes afin de soutenir l’Ukraine. Aujourd’hui, nous constatons que les personnes qui rejoignent les groupes DDoS ont des motivations différentes : Partout en Europe, nous ressentons l’impact financier de la guerre russe. Pour certaines personnes, il peut être tentant de gagner rapidement de l’argent supplémentaire. Nous avons vu que certains utilisateurs de pays comme le Canada et l’Allemagne voulaient rejoindre le groupe de hackers NoName(057)16 en essayant de télécharger le fichier exécutable DDosia et ainsi mener des attaques DDoS. Le fichier n’est disponible que pour les membres vérifiés du groupe Telegram correspondant, et a été activement poussé vers notre liste d’exceptions AV par certains utilisateurs d’Avast. En bref, le malware n’est plus marqué comme tel et peut être exécuté normalement. Sans grandes connaissances techniques, les membres du groupe peuvent gagner jusqu’à 80 000 roubles russes (environ 1 200 USD) en crypto-monnaies pour des attaques DDoS réussies. Ainsi, la motivation passe des aspects politiques aux aspects financiers. Le groupe de hackers NoName(057)16 utilise cette incitation financière pour augmenter son taux de réussite et ainsi se faire un nom dans la communauté des hackers, la motivation politique peut ne jouer qu’un rôle subalterne pour beaucoup, tant au niveau des chefs de projet que parmi les utilisateurs participants. S’il peut être tentant pour de nombreuses personnes de rejoindre ces cyber-groupes pour augmenter leurs finances, il s’agit toujours d’une cyber-attaque avec toutes ses conséquences y compris juridiques. Cela devrait être clair pour tout le monde. »

À propos d’Avast

Avast, est une marque mondiale de sécurité numérique et de protection de la vie privée de Gen™ (NASDAQ : GEN), une entreprise mondiale qui se consacre à développer la liberté numérique grâce à ses marques grand public de confiance, notamment Norton, Avast, LifeLock, Avira, AVG, ReputationDefender et CCleaner. Avec des centaines de millions d’utilisateurs sur Internet, Avast protège les personnes contre les menaces informatiques et celles grandissantes des objets connectés. Le réseau de détection des menaces d’Avast est parmi le plus avancé au monde, utilisant le machine learning et l’intelligence artificielle pour détecter et contrer les menaces en temps réel. Les solutions Avast pour ordinateurs, Mac et smartphones ont obtenu de nombreuses récompenses et certifications, notamment par VB100, AV-Comparatives, AV-Test ou Se Labs. Avast est en outre membre de la Coalition against Stalkerware, de No More Ransom et de l’Internet Watch Foundation.

Quitter la version mobile