NoName057(16) greift bevorzugt Ziele in Deutschland und Westeuropa an

Kurz nach Beginn des russisch-ukrainischen Konflikts gab ein neuer Threat-Actor seine Gründung auf dem Messengerdienst Telegram sowie sein Manifest bekannt. Die selbsterklärte Mission von NoName057(16) bestand darin, der offenen Feindseligkeit gegenüber Russland entgegenzuwirken und NATO-verbündete Länder ins Visier zu nehmen. Darüber hinaus erklärten sie, dass sie zur Zusammenarbeit bereit seien und keine unschuldigen Menschen angreifen würden, wobei sich der letzte Teil dieser Aussage nicht bewahrheitet hat.

NoName057(16) ist für seine weit verbreiteten Cyber-Aktivitäten in europäischen Ländern bekannt.  In den letzten Monaten von 2023 wurden besonders Länder in Ost- und Westeuropa angegriffen. Aber auch Organisationen in Deutschland sind ein häufiges Ziel.

Seit März 2022 hat NoName057(16) wahrscheinlich über 1.500 DDoS-Angriffe durchgeführt und ist im Durchschnitt für 8 Angriffe pro Tag verantwortlich.

Dabei werden in großem Umfang kostenlose oder kostengünstige öffentliche Cloud- und Webdienste als Ausgangspunkt für DDoS-Botnets, die die Ziel-Webserver überfluten, genutzt. Bei den Angriffen handelt es sich fast ausschließlich um HTTP/HTTPS-Floods, mit denen die Bandbreite und die Ressourcen der Ziele überlastet werden sollen.

Die Angriffe der NoName057(16) werden als Spiel gestaltet indem über einen Dienst namens Project DDoSia Zahlungen in digitaler Währung für Teilnehmer angeboten werden, die Angriffe durchführen und als Top-Performer „Punkte“ sammeln. Die am stärksten von den DDoS Angriffen betroffenen Branchen waren Transport und Logistik, die öffentliche Verwaltung und Finanzdienstleistungen.

DoSia führt DDoS-Angriffe aus, indem sie die Zielseiten mit vielen gleichzeitigen Junk-HTTPS-Anfragen überlastet. Bemerkenswert ist die plattformübergreifende Funktionalität, die mit Windows-, Linux- und macOS-Systemen kompatibel ist, was dazu dient, die Nutzerbasis zu erweitern. Die Verbreitung des Tools wird durch einen optimierten Onboarding-Prozess auf Telegram erleichtert. Die Population des DDosia-Botnets ist daher in weniger als einem Jahr von 400 auf fast 10.000 Teilnehmer angewachsen.

Generell lässt sich sagen, dass der NoName057(16)-Angriffsverkehr überwiegend aus legitimen CDN- und Cloud-Netzwerken stammt, die üblicherweise von legitimen Organisationen und Kunden genutzt werden. Ein breiter CIDR-basierter Filteransatz zur Eindämmung dieser Angriffe ist in vielen Kontexten kontraproduktiv, da er potenziell zu einer Überblockung legitimer Hosts in diesen Netzwerken führen könnte.

NoName057(16) ist ein ideologisch motivierter DDoS-Bedrohungsakteur, der bekannte DDoS-Angriffsvektoren in Verbindung mit einer innovativen Gamification-Methode zur Rekrutierung von Angriffsteilnehmern einsetzt. Indem sie ideologisch motivierte Freiwillige dazu ermutigen, Cloud-Computing- und VPS-Knoten absichtlich mit ihrem maßgeschneiderten, plattformübergreifenden DDoS-fähigen Botnet auszustatten, haben NoName057(16) das Wachstum und die Wartung ihrer Angriffsinfrastruktur im Wesentlichen ausgelagert und versuchen gleichzeitig, die erfolgreiche Abwehr von Angriffen durch die Präsenz dieser Botnet-Knoten in den Netzwerken beliebter, bekannter gemeinsam genutzter Computer-, Inhalts- und Netzwerkdienste zu erschweren.

Um Angriffe, die von NoName057(16) und anderen DDoS-Threat-Actors initiiert werden, einschließlich bisher nicht beobachteter Minute-Zero-DDoS-Angriffsvektoren, erfolgreich abzuwehren, sollten Unternehmen darauf achten, branchenübliche Best Practices (BCPs) in Verbindung mit Multilayer DDoS Abwehrlösungen zu implementieren.

vom Karl Heuser, Business Manager Security – Enterprise (DACH & EEUR) bei NETSCOUT