Anatomie von DDoSia: Wie NoName057(16) mit digitalen Angriffen den Westen trifft

Die pro-russische Hacktivistengruppe NoName057(16) hat in den vergangenen 13 Monaten mehr als 3.700 Ziele in Europa mit DDoS-Angriffen überzogen. Das berichtet die Insikt Group, die die Aktivitäten der Gruppe im Zeitraum vom 1. Juli 2024 bis zum 14. Juli 2025 detailliert verfolgt hat. Hauptziele waren staatliche Einrichtungen und öffentliche Institutionen in Ländern, die sich gegen Russlands Krieg in der Ukraine stellen.

Die Gruppe trat erstmals kurz nach Beginn der russischen Invasion im März 2022 in Erscheinung und setzt seitdem auf ihre eigene Plattform „DDoSia“, um täglich bis zu 50 Angriffe durchzuführen. Die Angriffsfrequenz korreliert laut Analyse häufig mit aktuellen militärischen oder politischen Entwicklungen in der Ukraine.

Technisch basiert DDoSia auf einer mehrstufigen Infrastruktur. Im Zentrum stehen sogenannte Tier-1- und Tier-2-Server, die unter anderem durch Zugriffskontrolllisten geschützt sind. Diese Architektur sorgt für eine stabile Steuerung der Angriffe und erschwert deren Unterbindung. Hinweise auf Aktivitätsmuster und Arbeitszeiten deuten darauf hin, dass NoName057(16) aus der russischen Zeitzone operiert.

Um sich gegen solche Angriffe zu wappnen, rät die Insikt Group Organisationen zu einem mehrschichtigen Schutzkonzept. Dazu zählen der Einsatz von DDoS-Schutzmechanismen, Content Delivery Networks (CDNs), Web Application Firewalls (WAFs), IP-Blockierungen und Ratenbegrenzungen. Ebenso wichtig ist ein erprobter Notfallplan für IT-Sicherheitsvorfälle, der auch Geschäftskontinuität und interne Kommunikationswege umfasst.

Längerfristig sollten Unternehmen auch in strategisches Lagebewusstsein investieren – etwa durch das Monitoring einschlägiger Onlineforen, in denen Bedrohungsakteure ihre Aktionen koordinieren, sowie durch die Auswertung internationaler Vorfälle, die als Frühwarnsignale für bevorstehende Kampagnen dienen könnten.

Auch wenn Strafverfolgungsbehörden wie bei der jüngsten Operation „Eastwood“ (14.–17. Juli 2025) punktuell Erfolge erzielen, bleibt unklar, wie wirksam solche Maßnahmen auf lange Sicht sind. Denn digitale Angriffe wie die von NoName057(16) sind längst Teil eines größeren geopolitischen Musters geworden: Im Schatten klassischer Kriege setzen Staaten und staatsnahe Akteure vermehrt auf asymmetrische Mittel – von DDoS-Attacken über Desinformation bis hin zu Sabotage.

Für Organisationen in NATO-nahen Staaten bedeutet das: Die digitale Front verläuft längst quer durch ihre Netzwerke – und sie müssen sich darauf einstellen, dass diese Form der Bedrohung keine vorübergehende Erscheinung ist, sondern ein fester Bestandteil moderner Konflikte.

Wichtigste Erkenntnisse

• NoName057(16) hat eine mehrschichtige Infrastruktur implementiert, in der Tier-1-C2-Server mit einer durchschnittlichen Lebensdauer von neun Tagen schnell aktualisiert werden. Diese Tier-1-C2-Server dürfen ausschließlich Verbindungen zu Tier-2-Servern herstellen, die über ACLs gesichert sind.
• Von Juni 2024 bis Juli 2025 hielt NoName057(16) ein hohes und konstantes Operationstempo aufrecht und startete Angriffe auf durchschnittlich 50 einzigartige Hosts pro Tag, wobei die Aktivität an einem einzigen Tag mit 91 Angriffen ihren Höhepunkt erreichte. Im Laufe des Analysezeitraums wurden insgesamt 3.776 verschiedene Hosts angegriffen.
• Die Angriffe zeigten eine klare geografische Konzentration, wobei ukrainische Organisationen den größten Anteil der Ziele ausmachten (29,47 %), gefolgt von verbündeten Ländern wie Frankreich (6,09 %), Italien (5,39 %) und Schweden (5,29 %). Bemerkenswert ist, dass die USA trotz ihrer Unterstützung für die Ukraine kein primäres Ziel von DDoSia waren.
• Nach Sektoren betrachtet waren der Regierungs- und der öffentliche Sektor mit 41,09 % aller beobachteten Angriffe am stärksten betroffen. Es folgten der Transport- und Logistiksektor mit 12,44 % und der Technologie-, Medien- und Kommunikationssektor mit 10,19 %.
• Die Betreiber von NoName057(16) halten sich wahrscheinlich an einen russischen Standard-Arbeitsplan, da täglich in zwei unterschiedlichen Wellen neue Ziele hinzugefügt werden, mit Spitzenwerten zwischen 05:00 und 07:00 UTC und gegen 11:00 UTC an Wochentagen.

Das DDoSia-Projekt: Digitale Angriffe per Knopfdruck

Im Zentrum der Aktivitäten von NoName057(16) steht ein eigens entwickeltes DDoS-Werkzeug mit dem Namen „DDoSia“. Es handelt sich dabei um den Nachfolger des früheren Botnetzes „Bobik“. DDoSia ermöglicht Angriffe auf Anwendungsebene, indem es Zielwebsites mit massenhaften, sinnlosen Anfragen überlastet.

Das sogenannte „DDoSia-Projekt“ umfasst nicht nur das Tool selbst, sondern ein ganzes Ökosystem aus Infrastruktur, Software und Freiwilligen. Der Go-basierte DDoSia-Client ist benutzerfreundlich gestaltet und kommuniziert mit einem Command-and-Control-Server (C2), um Angriffsziele zu beziehen. Nutzer benötigen einen individuellen „User Hash“, um Zugriff auf die Zielvorgaben zu erhalten und aktiv an Angriffen teilnehmen zu können – eine Maßnahme, die mutmaßlich dazu dient, externe Analysen zu erschweren.

Die einfache Handhabung des Tools ermöglicht es auch technisch wenig versierten Personen, sich an den Aktionen von NoName057(16) zu beteiligen. In den Untersuchungen werden jene Akteure, die das Projekt entwickeln und die Ziellisten erstellen, als „Betreiber“ bezeichnet. Die eigentlichen Angriffe führen die „Freiwilligen“ aus – sie stellen ihre Geräte zur Verfügung und übernehmen die Ausführung des DDoS-Clients.

Bedrohungs-/Technische Analyse

DDoSia-Kommunikation

Die Analyse des DDoSia-Clients durch die Insikt Group ergab einen zweistufigen Prozess zum Abrufen der Zielliste vom C2-Server. Der Prozess beginnt mit einer ersten Registrierung und Authentifizierung des Clients, woraufhin der Client die verschlüsselte Zielliste abruft. Der gesamte DDoSia-Kommunikationsfluss ist in Abbildung 1 dargestellt.

 

Grafik Quelle: DDoSia C2-Kommunikationsfluss (Quelle: Recorded Future)

Fazit

NoName05716 hat sich als hartnäckiger und widerstandsfähiger Bedrohungsakteur im Cyberbereich erwiesen, der seit über drei Jahren eine hochfrequente DDoS-Kampagne aufrechterhält. Angetrieben von einer klaren geopolitischen Agenda, die mit den Interessen Russlands übereinstimmt, demonstriert die Bedrohungsgruppe weiterhin ihre operative Langlebigkeit durch eine Kombination aus einer mehrschichtigen Infrastruktur und einer motivierten Freiwilligenbasis. Diese Faktoren deuten darauf hin, dass die Aktivitäten von NoName057(1)6 nicht episodisch sind, sondern vielmehr ein anhaltendes Merkmal des umfassenderen Cyberkonflikts im Zusammenhang mit dem andauernden Krieg in der Ukraine, der unabhängig von Abwehrmaßnahmen oder künftigen Strafverfolgungsmaßnahmen, einschließlich Operationen wie Operation Eastwood, wahrscheinlich fortbestehen wird.

Die Insikt Group geht mit hoher Sicherheit davon aus, dass NoName057(16) seine Aktivitäten während der gesamten Dauer des Konflikts aufrechterhalten wird. Die Zielstrategie der Bedrohungsgruppe dürfte weiterhin eng an den geopolitischen Zielen Russlands ausgerichtet sein und sich auf Länder und Branchen konzentrieren, die als Gegner des Kremls wahrgenommen werden. Die einzelnen Angriffe sind zwar technisch nicht besonders ausgefeilt, doch die Fähigkeit der Bedrohungsgruppe, eine große Anzahl von Angriffen mit geringer Komplexität auf eine Vielzahl von Zielen zu koordinieren, macht sie zu einer hartnäckigen und disruptiven Kraft.

Mit Blick auf die Zukunft sollten sich Unternehmen, die in Ländern tätig sind, die die Ukraine unterstützen, oder in kritischen Sektoren, auf weitere Angriffe von NoName057(16) vorbereiten. Auch wenn die Bedrohungsgruppe ihre Tools schrittweise weiterentwickeln könnte, beispielsweise durch die Verbesserung des DDoSia-Clients oder die Integration einer stärkeren Verschlüsselung, um der Erkennung zu entgehen, ist es unwahrscheinlich, dass sich ihre Kernaufgabe, nämlich die Störung, ändern wird. Diese anhaltende Bedrohung muss im größeren Kontext der hybriden Kriegsführung verstanden werden, in der Cyberoperationen wie hacktivistische DDoS-Angriffe, Pseudo-Ransomware, Desinformation und Sabotage als Instrumente staatlich gelenkter Einflussnahme eingesetzt werden, die bewusst unterhalb der Schwelle eines konventionellen Konflikts bleiben. Diese Taktiken der hybriden Kriegsführung gewinnen für Russland in Zeiten wahrgenommener Schwäche, wie beispielsweise Rückschlägen auf dem Schlachtfeld oder Bekundungen der Unterstützung für die Ukraine, besonders an Bedeutung. Um wirksam reagieren zu können, müssen Unternehmen langfristige Verteidigungsstrategien verfolgen, die auf skalierbare Resilienz und nachhaltige Transparenz in Bezug auf Bedrohungsakteure und geopolitische Entwicklungen setzen.

Kompletter Report hier.

Das könnte Sie ebenfalls interessieren

---