Prag, Tschechische Republik, 6. September 2022 — Forscher*innen von Avast (LSE: AVST), einem globalen Anbieter von digitalen Sicherheits- und Privatsphäre-Lösungen, verfolgen seit dem 1. Juni 2022 die Aktivitäten der pro-russischen Hackergruppe NoName057(16). Die Gruppe reagiert mit ihren Angriffen auf jeweils aktuelle politische Situationen und zielt dabei auf Unternehmen und Institutionen in der Ukraine und Organisationen in benachbarten Ländern wie Estland, Litauen, Norwegen und Polen ab. Den Untersuchungen von Avast zufolge hat die Gruppe mit ihren DDoS-Attacken eine Erfolgsquote von 40 Prozent. Unternehmen mit einer ausreichend gut geschützten Infrastruktur konnten den Angriffsversuchen widerstehen. Außerdem recherchierten die Avast-Forscher*innen, dass sich 20 Prozent der von der Gruppe für sich behaupteten Erfolge auf Angriffe beziehen, die nicht von NoName057(16) ausgingen.
NoName057(16) führt ausschließlich DDoS-Angriffe durch. Anfang Juni hatte die Gruppe ukrainische Nachrichtenserver im Visier. Danach konzentrierten sie sich auf Websites von Städten, Kommunalverwaltungen, Versorgungsunternehmen, Waffenherstellern, Transportunternehmen und Postämtern in der Ukraine. Die folgenden Punkte zeigen im jeweiligen politischen Kontext, wie sich die Angriffe auch auf weitere Staaten ausweiteten:
NoName057(16) prahlt aktiv mit ihren erfolgreichen DDoS-Angriffen gegenüber ihren mehr als 14.000 Followern auf Telegram. Der Kanal wurde am 11. März 2022 eingerichtet. Die Gruppe berichtet hier nur über erfolgreiche DDoS-Angriffe, die angeblich ihnen zuzuordnen sind.
„Obwohl die von der Gruppe gemeldete Anzahl erfolgreicher Angriffe hoch erscheint, deuten statistische Informationen auf das Gegenteil hin", erklärt Martin Chlumecky, Malware-Forscher bei Avast. „Die Erfolgsquote von NoName057(16) liegt bei 40 Prozent. Wir haben die Liste der Ziele, die der C&C-Server an die Bobik-Bots sendet, mit den angeblichen Erfolgen verglichen, die die Gruppe auf ihrem Telegram-Kanal postet. Websites, die auf gut gesicherten Servern gehostet werden, können den Angriffen widerstehen. Etwa 20 Prozent der Angriffe, von denen die Gruppe behauptet, dafür verantwortlich zu sein, stimmten nicht mit den in ihren Konfigurationsdateien aufgeführten Zielen überein."
Die Hacker-Gruppe kontrolliert ungeschützte PCs auf der ganzen Welt, die mit der Malware Bobik infiziert sind und als Bots fungieren. Bobik tauchte erstmals im Jahr 2020 auf und wurde in der Vergangenheit als Fernzugriffstool verwendet. Die Malware wird von einem Dropper namens Redline Stealer verbreitet, einem Botnet-as-a-Service, für den Cyberkriminelle bezahlen, um die Malware ihrer Wahl zu verbreiten. Avast hat einige Hunderte PCs vor Bobik geschützt. Der Avast-Forscher Martin Chlumecky schätzt jedoch, dass angesichts der Effektivität und Häufigkeit der Angriffe mehrere Tausend Bobik-Bots im Umlauf sind.
Konkret sendet die Gruppe Befehle an ihre Bots über einen C&C-Server in Rumänien. Früher hatte die Gruppe zwei weitere Server in Rumänien und Russland, die jedoch nicht mehr aktiv sind. Die Bots erhalten Listen von DDoS-Zielen in Form von XML-Konfigurationsdateien, die dreimal pro Tag aktualisiert werden. Die Angreifer versuchen Anmeldeseiten, Websites zur Wiederherstellung von Passwörtern und Suchvorgänge auf der jeweiligen Website zu überlasten.
Die erfolgreichsten Angriffe der Gruppe führen dazu, dass Websites dann schließlich auch für mehrere Stunden bis zu einigen Tagen nicht erreichbar sind. Um diese Art von Angriffen zu bewältigen, greifen kleinere und lokale Website-Betreiber oft auf die Blockierung von Anfragen aus dem Ausland zurück. In extremen Fällen hatten einige der von der Gruppe angegriffenen Website-Betreiber ihre Domänen abgemeldet.
„Die tatsächliche Stärke der von NoName057(16) durchgeführten DDoS-Angriffe ist jedoch fragwürdig. Nach dem Konfigurationsverlauf zu urteilen, können sie etwa dreizehn URL-Adressen auf einmal angreifen, einschließlich Subdomains“, fährt Martin Chlumecky fort. „Außerdem enthält eine XML-Konfiguration oft eine definierte Domain als eine Reihe von Subdomains, so dass die Malware Bobik effektiv fünf verschiedene Domänen innerhalb einer Konfiguration angreift. Das bedeutet, die Angreifer können sich aus Kapazitäts- und Effizienzgründen gar nicht auf mehr Domains konzentrieren.“
Die durchgeführten DDoS-Angriffe können für einige Website-Betreiber prominenter und kritischer Domains, zum Beispiel von Banken, Regierungen und internationalen Unternehmen, schwieriger zu handhaben sein. Die Avast-Forscher*innen konnten feststellen, dass größere Unternehmen nach erfolgreichen Angriffen Unternehmenslösungen wie Cloudflare oder BitNinja implementierten, die den eingehenden Datenverkehr filtern und DDoS-Angriffe in den meisten Fällen erkennen können. Auf der anderen Seite erwarten die meisten großen, internationalen Unternehmen einen stärkeren Datenverkehr und betreiben ihre Webserver in der Cloud mit Anti-DDoS-Lösungen, was sie widerstandsfähiger gegen Angriffe macht. So gelang es der Gruppe beispielsweise nicht, die Websites der dänischen Bank Danske Bank (Angriff vom 19. bis 21. Juni 2022) und der litauischen Bank SEB (Angriffe vom 12. bis 13. Juli 2022 und vom 20. bis 21. Juli 2022) lahmzulegen.
Die erfolgreicheren Angriffe von NoName057(16) betrafen Unternehmen mit eher einfach strukturierten, informativen Websites, die beispielsweise lediglich eine „Über uns“-, eine „Mission/Vision“- und eine Kontaktseite als Unterseiten enthielten. Die Server solcher Websites sind in der Regel nicht auf eine hohe Belastung ausgelegt und verfügen oft nicht über Anti-DDoS-Techniken, was sie zu einem leichten Ziel macht.
Unternehmen können ihre Websites mit spezieller Software und Cloud-Schutz vor DDoS-Angriffen schützen.
Unternehmen und Verbraucher*innen können verhindern, dass ihre Geräte als Teil eines Botnetzes verwendet werden, indem sie zuverlässige Antiviren-Software verwenden, die Malware wie Bobik erkennt und blockiert. Zu den weiteren Maßnahmen, die zum Schutz der Geräte ergriffen werden können, gehört, dass Anwender*innen nicht auf verdächtige Links oder Anhänge in E-Mails klicken ebenso wie regelmäßige Software-Updates, um Sicherheitslücken zu schließen. Im Allgemeinen ist es nicht einfach zu erkennen, ob ein Gerät für einen DDoS-Angriff verwendet wird. Ein Hinweis könnte jedoch ein hoher Netzwerkverkehr sein, der an ein unbekanntes Ziel geht.
Weitere Informationen über die Aktivitäten von NoName057(16), die Malware Bobik und die DDoS-Angriffe finden Sie im Avast Decoded Blog.