NoName057 usa activamente canales de Telegram para comunicarse con sus simpatizantes, definir objetivos a atacar, descargar las herramientas para los ataques y mostrar las evidencias del éxito de sus ataques. El hecho de que este grupo utilice plataformas de comunicación accesibles al público para publicitar sus logros y captar una gran atención mediática, buscando influir en la opinión política y social del país al que atacan, podría considerarse como una forma de campaña de información para respaldar la causa pro-rusa

Expertos en ciberseguridad han identificado que el grupo NoName057(16) ha estado empleando como servicio la botnet conocida como Bobik, que realmente forma parte de la red más amplia de bots llamada Redline Stealer, para ejecutar ataques de denegación de servicio distribuido (DDoS).

NoName057(16)

NoName057(16) es un grupo de hacktivismo pro-ruso activo desde marzo de 2022, en respuesta a los eventos y tensiones generados por la invasión rusa de Ucrania.

Los grupos hacktivistas, a diferencia de otros actores, utilizan sus habilidades técnicas en tecnología e informática para promover una agenda política o social. A través de acciones como la interrupción de servicios, el acceso no autorizado a sistemas, la divulgación de información secreta y otras formas de protesta digital, los grupos hacktivistas buscan llamar la atención sobre causas específicas, influir en la opinión pública o provocar cambios en políticas o comportamientos de organizaciones, gobiernos o sociedades.

Con el apoyo de voluntarios conocidos como "héroes" para llevar a cabo sus ataques DDoS. Para ello, tras un previo registro a través de un bot de Telegram, se les proporciona una URL para descargar los ejecutables de la herramienta que les permitirá realizar los ataques (DDoSia) y un archivo de texto con un identificador único por voluntario.

Los voluntarios además pueden registrarse en el bot de Telegram utilizando su número de identificación y una billetera criptográfica para optar a “premios” o “recompensas” en función del número total de ataques que realicen todos los voluntarios activos en un día determinado. Estas recompensas se realizan en criptomonedas como Ethereum, Bitcoin o Tether y puede ser un reclamo para aumentar el número de voluntarios que participen en sus ataques y apoyen sus reivindicaciones.

La siguiente publicación de Telegram de marzo de 2023 describía el sistema de pago usado:

• 80.000 rublos para el voluntario que quede en primer lugar
• 50.000 rublos para el voluntario que quede en segundo lugar
• 20.000 rublos para el voluntario que quede en tercer lugar
• 50.000 rublos a repartir entre los voluntarios que queden entre el cuarto y décimo puesto.

Se desconoce quién patrocina estos recursos financieros o como se financia NoName057(16), ya que a diferencia de otros grupos hacktivistas, este actor no solicita donaciones de dinero a través de sus canales públicos de Telegram.

Campañas llevadas a cabo contra España

NoName057(16) ha realizado múltiples campañas contra objetivos de la Unión Europea y de la OTAN. Dentro de los países atacados podemos destacar los ataques contra activos españoles.

El primer ataque exitoso registrado en el canal de Telegram de Noname057(16) contra paginas oficiales del gobierno español data del 26/02/2023 y fué motivada por el envío de material militar al ejército de Ucrania y la visita del presidente de España (Pedro Sánchez) a Kyev.

Descripción de la herramienta DDoSia

El grupo lleva a cabo sus ataques de denegación de servicio distribuido (DDoS) a través del proyecto llamado DDoSia, que incluye servidores de comando y control (C2) y clientes de DDoSia. DDoSia fue desarrollado en septiembre de 2022 para que los voluntarios pudieran usar sus propios ordenadores y su conexión a internet para ejecutar los ataques previamente planificados.

Inicialmente, DDoSia fue creado usando el lenguaje de programación Python y se diseñó para manejar múltiples peticiones de red simultáneamente mediante el uso de hilos de CPU. Más adelante, se reescribió el cliente DDoSia en el lenguaje de programación Go y permite que se ejecute en diversas plataformas, como, por ejemplo:

• Ejecutable ELF LSB de 32 bits, ARM
• Ejecutable ELF LSB de 32 bits, Intel 80386
• Ejecutable ELF LSB de 64 bits, x86-64
• Ejecutable arm64 Mach-O de 64 bits
• Ejecutable Mach-O x86_64 de 64 bits
• PE32+ ejecutable (consola) Aarch64
• Ejecutable PE32 (consola) Intel 80386
• PE32+ ejecutable (consola) x86-64

Desde su creación, DDoSia ha utilizado el protocolo HTTP para su sistema de comando y control (C2), empleando configuraciones en formato JSON distribuidas por el servidor C2. Adicionalmente, el grupo hacktivista aconseja a través de sus canales de Telegram el uso de redes privadas virtuales (VPN) para complicar que las autoridades de los países objetivo puedan identificar a los voluntarios que participan en los ataques.

“If the computer is located outside the Russian Federation, it is strongly recommended to use a VPN to change the IP address. You can check the change in IP address, for example, on myip.com. It is recommended to monitor the VPN in action to avoid being disabled or use a VPN with an Internet killswitch option.”

El contenido de la solicitud POST contiene información cifrada del ordenador que ejecuta el cliente DDoSia, como por ejemplo, la versión del kernel, arquitectura, numero de procesadores, …

Una vez recibida y validada la información del POST a través de un código identificativo, el cliente DDoSia enviará una solicitud GET al C2 (hxxp://[IP]/client/get_targets) solicitando la lista de activos a atacar cifrada.

GET /client/get_targets HTTP/1.1

Host: [C2 IP]

User-Agent: [User-Agent]

Client-Hash: xxxxxxxxxxxxxxxxxxxxxxxxxxxx:xxxx

Content-Type: application/json

Time: 1682xxxxxxxxxxxxxx

User-Hash: $2a$16$xxxxxxxxxxxxxxxxx

Accept-Encoding: gzip

El C2 devuelve un diccionario en formato JSON que contiene el token anterior modificado y un campo de datos codificado.

{“token“: 1682xxxxxxxxxxxxxx, “data“: [Datos cifrados]} 

El cliente de DDoSia crea solicitudes dirigidas hacia sitios web y URLs específicas que se planea atacar, siguiendo las directrices de una lista de objetivos proporcionada por los servidores de comando y control (C2).

Además, en algunos objetivos, es posible generar peticiones aleatorias a URLs especificas a través de los campos especificados en el apartado “randoms” del json de objetivos.

{"targets": [{

"target_id":

"request_id":

"host":

"ip":

"type": "http",

"method": "POST",

"port": 443,

"use_ssl": true,

"path":

"body": {

"type": "str",

"value":

},

"headers": null

},

"randoms": [{

"name":

"id":

"digit": true,

"upper": false,

"lower": false,

"min": 11,

"max": 11

}

• www.vitrasa.es
• www.zaragoza.es
• clave.gob.es
• www.malaga.eu
• emprendimiento.murcia.es
• contrataciondelestado.es
• policia.murcia.es
• emplea.murcia.es
• energia.murcia.es
• www.aecarretera.com
• hisenda.gva.es
• www.murcia.es
• www.emtmalaga.es
• dehu.redsara.es
• urbanismo.murcia.es
• www.turismodemurcia.es
• manacor.org
• sede.dgt.gob.es
• www.metromadrid.es
• www.emtmadrid.es
• www.tranviademurcia.es
• www.alumbradopublicomurcia.es
• amt.murcia.es
• serviv.es
• urbamusa.com
• www.puertos.es
• www.metrovalencia.es
• alicante.vectalia.es
• auth.tmb.cat
• www.tussam.es
• www.tgcomes.es
• www.puertos.es
• www.apvigo.es
• ejercitodelaire.defensa.gob.es
• www.apcoruna.com
• www.defensa.gob.es
• ejercito.defensa.gob.es
• www.apc.es
• www.sevilla.org
• www.valencia.es
• www.policia.es
• armada.defensa.gob.es
• www.portsdebalears.com
• www.guardiacivil.es 

Sitios nuevos atacados el día 24 julio 2024

• www.palmasport.es
• www.jomipsa.com
• meteoescuela.aemet.es
• wwis.aemet.es
• www.recambiosrobot.es
• campuscrfespana.aemet.es
• preama.aemet.es
• ama.aemet.es
• www.camaramadrid.es
• www.worten.es
• www.mjusticia.gob.es
• www.indracompany.com
• ruma.es
• www.navirnet.net
• www.tiendade.es
• www.dgt.es
• www.veepee.es
• www.apba.es
• www.mediamarkt.es
• www.cofides.es
• opendata.aemet.es
• www.aecid.es
• www.sedigas.es
• www.portdebarcelona.cat
• www.bilbaoport.eus
• www.cimsa.com
• www.arbitramadrid.com
• www.mapa.gob.es
• aerospain.aemet.es
• www.aemet.es
• www.autodoc.es
• www.aernnova.com
• www.amec.es
• u23r2.gdels.com
• electrouno.es
• repositorio.aemet.es
• remote-s.gdels.com
• www.tribunalconstitucional.es
• tab.es
• izana.aemet.es
• www.emtmadrid.es
• auth.tmb.cat
• www.zaragoza.es

Fuentes:

https://www.ciberseguridad.eus/sites/default/files/2024-04/Cyberzaintza_Informes - NoName057(16)_v3 (1).pdf

https://m3str3.vercel.app/posts/ddosia-targets-from-memory