A Avast tem acompanhado a atividade de um grupo de hackers pró-Rússia chamado NoName057(16), desde 1º de junho de 2022. O grupo reage à evolução da situação política, visando empresas e instituições pró-ucranianas na Ucrânia e países vizinhos, como Estônia, Lituânia, Noruega e Polônia. De acordo com a pesquisa da Avast, o grupo tem uma taxa de sucesso de 40%, e empresas com infraestrutura bem protegida podem resistir às suas tentativas de ataques. A pesquisa também descobriu que 20% dos sucessos reivindicados pelo grupo podem não ser obra deles.
Alvos do NoName057(16)
NoName057(16) realiza exclusivamente ataques DDoS. No início de junho, o grupo atacou meios de comunicação ucranianos. Em seguida, eles se concentraram em sites na Ucrânia pertencentes a cidades, governos locais, empresas de serviços públicos, fabricantes de armamento, empresas de transporte e correios.
Em meados de junho, os ataques tornaram-se politicamente motivados. Os países bálticos (Lituânia, Letônia e Estônia) são significativamente afetados. Após a proibição do trânsito de mercadorias sujeitas a sanções da UE através de seu território, com destino a Kaliningrado, ferrovias e empresas lituanas de transporte foram atacadas pelo grupo. Em 1º de julho de 2022, o transporte de mercadorias destinadas a chegar aos mineradores empregados pela empresa de mineração de carvão estatal russa Arktikugol foi interrompido pelas autoridades norueguesas.
Em resposta, o grupo retaliou atacando empresas de transporte da Noruega (Kystverket, Helitrans, Boreal), o serviço postal norueguês (Posten) e instituições financeiras daquele país (Sbanken, Gjensidige). No início de agosto, depois que a Finlândia anunciou sua intenção de ingressar na OTAN, NoName057(16) mirou instituições governamentais finlandesas, como o Parlamento da Finlândia (Eduskunta), o Conselho de Estado e a polícia finlandesa.
Taxa de sucesso de 40%
NoName057(16) se gaba ativamente de seus ataques DDoS bem-sucedidos a seus mais de 14 mil seguidores no Telegram. No canal do grupo, criado em 11 de março de 2022, apenas ataques DDoS bem-sucedidos são relatados.
“Embora o número relatado de ataques bem-sucedidos do grupo pareça grande, as informações estatísticas indicam o contrário”, explica Martin Chlumecky, pesquisador de malware da Avast. “A taxa de sucesso do grupo é de 40%. Comparamos a lista de alvos que o servidor C&C envia aos bots Bobik, com o que o grupo publica em seu canal do Telegram. Sites hospedados em servidores bem protegidos podem resistir aos ataques. Cerca de 20% dos ataques, os quais o grupo afirma ser responsável, não correspondiam aos alvos listados em seus arquivos de configuração.
Bots Bobik agem como soldados
O grupo controla PCs desprotegidos em todo o mundo, infectados com um malware chamado Bobik, que age como bots. O Bobik surgiu pela primeira vez em 2020 e foi usado como ferramenta de acesso remoto no passado. O malware é distribuído por um “dropper” chamado “Redline Stealer”, que é um “botnet-as-a-service” que os cibercriminosos pagam para espalhar o malware de sua escolha. A Avast já protegeu algumas centenas de PCs contra o Bobik. O pesquisador da Avast, Martin Chlumecky, no entanto, estima que existam milhares de bots Bobik espalhados por aí, considerando a eficácia e a frequência dos ataques.
O grupo envia comandos para os seus bots, por meio de um servidor C&C localizado na Romênia. Anteriormente, o grupo tinha dois servidores adicionais na Romênia e na Rússia, mas estes não estão mais ativos. Os bots recebem listas de alvos para DDoS, na forma de arquivos de configuração XML, que são atualizados três vezes ao dia. Eles tentam sobrecarregar páginas de login, sites de recuperação de senha e buscas nos sites. Os ataques duram de algumas horas a alguns dias.
Impacto dos ataques
Os ataques mais bem-sucedidos do grupo deixam os sites inativos, por várias horas ou até alguns dias. Para lidar com os ataques, operadores de sites menores, locais, geralmente recorrem ao bloqueio de solicitações vindas de fora de seu país. Em casos extremos, alguns proprietários de sites alvo do grupo chegam a cancelar o registro de seus domínios.
“O poder dos ataques DDoS realizados por NoName057(16) é, no mínimo, discutível. Ao mesmo tempo, eles podem atingir cerca de treze endereços de URL de uma só vez, a julgar pelo histórico de configuração, incluindo subdomínios”, continua Martin Chlumecky. “Além disso, uma configuração XML geralmente inclui um domínio definido como um conjunto de subdomínios, de modo que o Bobik efetivamente ataca cinco domínios diferentes com uma única configuração. Consequentemente, eles não podem se concentrar em mais domínios, por motivos de capacidade e eficiência”.
Os ataques DDoS realizados foram mais difíceis para lidar para alguns operadores de sites de domínios importantes e proeminentes, como de bancos, governos e empresas internacionais. Após um ataque bem-sucedido, os pesquisadores da Avast notaram que empresas maiores implementam soluções corporativas, como Cloudflare ou BitNinja, que podem filtrar o tráfego de entrada e detectar ataques DDoS na maioria dos casos.
Por outro lado, a maioria das grandes empresas internacionais espera por tráfego mais pesado e executa os seus servidores web na nuvem com soluções anti-DDoS, tornando-os mais resistentes contra os ataques. Por exemplo, o grupo não conseguiu derrubar sites pertencentes ao banco dinamarquês Danske Bank (atacado de 19 a 21 de junho de 2022) e ao banco lituano SEB (atacado nos dias 12 e 13 de julho de 2022, e nos dias 20 e 21 de julho de 2022).
Os ataques mais bem-sucedidos de NoName057(16) afetaram empresas com sites simples e informativos, incluindo apenas uma página com “sobre, missão e contato”, por exemplo. Os servidores de sites como esses normalmente não são projetados para serem muito carregados e muitas vezes não implementam técnicas anti-DDoS, tornando-os um alvo fácil.
