La dernière analyse du serveur C&C du projet DDosia, du 1er août au 5 décembre 2022, révèle que :

NoName(057)16 a mis en place le projet DDosia tout en utilisant le botnet Bobik, probablement comme plan de secours. Le serveur du botnet Bobik a été mis hors service au début du mois de septembre.

Détails techniques de l’exécutable DDosia, contenant des scripts Python, et du serveur C&C.

Le groupe continue de cibler des entreprises privées et publiques (tribunaux, banques, établissements d’enseignement, agences gouvernementales et services de transport, par exemple) en Pologne, en Lettonie et en Lituanie, puis en Ukraine.

Avast a observé approximativement 1 400 tentatives d’attaques DDoS par les membres du projet DDosia, dont 190 ont réussi. Le taux de réussite actuel du projet DDosia est d’environ 13 %. Le taux de réussite des attaques a augmenté en novembre, probablement en raison d’attaques visant plusieurs sous-domaines appartenant au même domaine principal. Les sites multiples appartenant à un même domaine fonctionnent souvent sur le même serveur. Si ce serveur est vulnérable aux attaques, tous les sous-domaines hébergés sur ce serveur le sont également.

Par exemple, le groupe a ciblé des sous-domaines appartenant au domaine.gov.pl, dont la plupart fonctionnent sur la même plate-forme, ce qui augmente leurs chances de mettre hors service un serveur sélectionné.

La plupart des pages ciblées par le groupe ne contiennent pas de contenu anti-russe et ne proposent pas de services critiques.

Le canal Telegram privé et dédié au projet compte environ 1 000 adeptes, que le groupe qualifie de "héros". Les membres sont encouragés à utiliser un VPN et à se connecter via des serveurs situés en dehors de la Russie ou du Belarus, car le trafic en provenance de ces deux pays est souvent bloqué dans les pays ciblés par le groupe.

Les « héros » de DDosia peuvent se connecter à un portefeuille de crypto-monnaies, en utilisant un identifiant d’utilisateur inclus dans l’archive ZIP que les « héros » reçoivent après leur inscription, afin de gagner jusqu’à 80 000 roubles russes (1 200 $) en crypto-monnaies pour les attaques DDoS réussies qu’ils mènent.

N’importe qui peut manipuler leurs statistiques de performance, car la communication avec le C&C n’est ni cryptée ni authentifiée.

Avast a détecté une poignée d’utilisateurs tentant de télécharger l’exécutable DDosia, mais a remarqué que des utilisateurs d’Avast en Russie, ainsi que des utilisateurs au Canada et en Allemagne ont ajouté le programme à la liste des exceptions d’Avast AV.

Un "héros" de DDosia peut générer environ 1 800 requêtes par minute en utilisant quatre cœurs et 20 threads (selon la qualité de la connexion Internet de l’attaquant). Avec environ 1 000 membres, en supposant qu’au moins la moitié d’entre eux soient actifs, le nombre total de demandes adressées à des cibles définies peut atteindre 900 000 req/min. C’est suffisant pour mettre hors service les services Web qui ne s’attendent pas à un trafic réseau plus important.

Les fichiers de configuration contenant les listes de sites à attaquer par DDoS sont modifiés quatre fois par jour, en moyenne. Le nombre moyen de domaines attaqués est de 17 par jour. 

< Avast suppose que le groupe a mis en place un nouveau serveur C&C après la mise hors service du premier serveur C&C de DDosia. Le groupe continue à promouvoir le projet et à inviter de nouveaux membres à le rejoindre.

Martin Chlumecky, chercheur en logiciels malveillants chez Avast, déclare : « Dès le début de la guerre en Ukraine, nous avons vu des appels sur les médias sociaux pour que les gens s’engagent comme hacktivistes et téléchargent des outils DDoS pour faire tomber les sites Web russes afin de soutenir l’Ukraine. Aujourd’hui, nous constatons que les personnes qui rejoignent les groupes DDoS ont des motivations différentes : Partout en Europe, nous ressentons l’impact financier de la guerre russe. Pour certaines personnes, il peut être tentant de gagner rapidement de l’argent supplémentaire. Nous avons vu que certains utilisateurs de pays comme le Canada et l’Allemagne voulaient rejoindre le groupe de hackers NoName(057)16 en essayant de télécharger le fichier exécutable DDosia et ainsi mener des attaques DDoS. Le fichier n’est disponible que pour les membres vérifiés du groupe Telegram correspondant, et a été activement poussé vers notre liste d’exceptions AV par certains utilisateurs d’Avast. En bref, le malware n’est plus marqué comme tel et peut être exécuté normalement. Sans grandes connaissances techniques, les membres du groupe peuvent gagner jusqu’à 80 000 roubles russes (environ 1 200 USD) en crypto-monnaies pour des attaques DDoS réussies. Ainsi, la motivation passe des aspects politiques aux aspects financiers. Le groupe de hackers NoName(057)16 utilise cette incitation financière pour augmenter son taux de réussite et ainsi se faire un nom dans la communauté des hackers, la motivation politique peut ne jouer qu’un rôle subalterne pour beaucoup, tant au niveau des chefs de projet que parmi les utilisateurs participants. S’il peut être tentant pour de nombreuses personnes de rejoindre ces cyber-groupes pour augmenter leurs finances, il s’agit toujours d’une cyber-attaque avec toutes ses conséquences y compris juridiques. Cela devrait être clair pour tout le monde. »