Die Forscher von SentinelLabs haben NoName057(16), eine noch relativ unbekannte Hacktivistengruppe, unter die Lupe genommen. Die Gruppe, auch bekannt als NoName05716, 05716nnm oder Nnm05716, treibt seit März 2022 neben Killnet und anderen pro-russischen Gruppen ihr Unwesen. Im Dezember 2022 war sie für die Störung der polnischen Regierungswebsite verantwortlich.
Wie die polnische Regierung mitteilte, war der Vorfall eine Reaktion auf die offizielle Anerkennung Russlands als staatlicher Sponsor des Terrorismus durch Polen Mitte Dezember 2022. In jüngster Zeit hat die Gruppe den dänischen Finanzsektor angegriffen und dabei führende Finanzinstitute in Mitleidenschaft gezogen, wie die Nachrichtenagentur Reuters berichtet.
Motive der Hacktivisten
Die Gruppe NoName057(16) konzentriert sich in erster Linie auf die Störung von Websites, die für Nationen wichtig sind, die Russlands Einmarsch in der Ukraine kritisch gegenüberstehen. Die Methode zur Durchführung solcher Störungen sind DDoS-Angriffe (Distributed Denial of Service).
Anfänglich beschränkten sich die Attacken auf ukrainische Nachrichten-Websites, später wurden auch NATO-nahe Ziele angegriffen. Die ersten Vorfälle, zu denen sich die Gruppe bekannte, waren beispielsweise die DDoS-Angriffe auf die ukrainischen Nachrichten- und Medien-Websites Zaxid, Fakty UA und andere im März 2022.
Kommunikation über einen Telegram-Kanal
NoName057(16) nutzt Telegram, um die Verantwortung für ihre Angriffe zu verteilen, Ziele zu identifizieren, Drohungen auszusprechen und allgemein ihre Handlungen zu rechtfertigen. Interessanterweise wird versucht, die Anhänger durch pädagogische Inhalte zu unterrichten, z. B. durch die Erläuterung von grundlegendem Branchenjargon und Angriffskonzepten.
Beweise aus dem Telegram-Kanal von NoName057(16) deuten darauf hin, dass die Gruppe Wert auf die Anerkennung legt, die ihre Angriffe durch die Veröffentlichung im Internet und in Wikipedia-Artikeln erhalten. Der Kanal postet auch pro-russische Memes, motivierende Posts und allgemeine Status-Updates rund um die Feiertage.
Die beobachteten Telegram-Aktivitäten machen deutlich, dass die Gruppe sich selbst für einen russischen Bedrohungsakteur der Spitzenklasse hält, obwohl die Auswirkungen ihrer DDoS-Angriffe in Wirklichkeit nur kurzzeitige Störungen mit geringen oder keinen weiteren Folgen sind.
Die Gruppe hat auch GitHub genutzt, um eine Vielzahl illegaler Aktivitäten zu hosten. Dazu gehört die Nutzung von GitHub Pages für das freie Hosting ihrer DDoS-Tool-Website und der zugehörigen GitHub-Repositories für das Hosting der neuesten Version ihrer Tools, die im Telegram-Kanal beworben werden.
Zielsetzungen der Hacktivisten
NoName057(16) hat sich während des gesamten Bestehens der Gruppe auf Ziele in der Ukraine und in NATO-Mitgliedsländern konzentriert. Bei den angegriffenen Organisationen handelt es sich in der Regel um kritische Infrastrukturen, die für die öffentliche Sicherheit des Landes von entscheidender Bedeutung sind. Die Auswahl der Ziele ändert sich je nach den aktuellen politischen Ereignissen.
So war die polnische Regierung ein Ziel im Dezember und Anfang Januar 2023 lag der Schwerpunkt auf litauischen Organisationen. In jüngster Zeit konzentrierte sich der Akteur auf führende dänische Finanzinstitute wie die Danske Bank, Danmarks Nationalbank.
Am 11. Januar 2023 beobachteten die Forscher von SentinelLabs, dass der Bedrohungsakteur damit begann, Websites mehrerer tschechischer Präsidentschaftskandidaten für die Wahl 2023 anzugreifen. Die Wahl findet am 13. und 14. Januar 2023 statt, so dass das Timing der Störungsversuche nicht außer Acht gelassen werden kann.
Zu den spezifischen Zielen gehören die Domänen der Kandidaten Pavel Fischer, Marek Hilšer, Jaroslav Bašta, General Petr Pavel und Danuše Nerudová. Auch die Website des Außenministeriums der Tschechischen Republik wurde zur gleichen Zeit angegriffen. Die Sicherheitsforscher von SentinelLabs haben das tschechische CERT über die Entdeckung der neuen Zielliste informiert.
Technische Hintergründe
NoName057(16) hat im Jahr 2022 eine Reihe verschiedener Tools zur Durchführung seiner Bedrohungen eingesetzt. Im September berichtete Avast über den Angreifer, der das Bobik-Botnet zur Durchführung seiner DDoS-Angriffe nutzt. Die Gruppe scheint jedoch in erster Linie eine freiwillige Teilnahme über ihr DDOSIA-Tool anzustreben, das von seinem Entwickler je nach Version auch als Dosia und Go Stresser bezeichnet wird.
Es wurden zwei verschiedene Implementierungen von DDOSIA analysiert: eine Python- und eine Golang-Implementierung. Die Python-DDOSIA-Implementierung wird als Py-Installer-Paket geliefert.
DDOSIA ist eine Multithreading-Anwendung, die Denial-of-Service-Angriffe auf Zielseiten durch wiederholte Netzwerkanfragen ausführt. Anfragen werden hierbei gemäß den Anweisungen einer Konfigurationsdatei, die die Malware beim Start von einem C2-Server erhält, versendet. Vieles deutet darauf hin, dass DDOSIA ständig weiterentwickelt wird und häufigen Änderungen unterliegt.
Das Schadprogramm führt Statistiken über seinen Betrieb und seine Erfolgsquote - die Malware zählt die Gesamtzahl und die Anzahl der erfolgreichen Netzwerkanfragen, die an jede Zielsite gesendet wurden. Es wurden auch Versionen des Tools für macOS und Linux entwickelt.
Fazit
Bei NoName057(16) handelt sich um eine weitere Hacktivistengruppe, die im Zuge des Krieges in der Ukraine entstanden ist. Auch wenn die Methoden technisch nicht sehr anspruchsvoll sind, können sie die Verfügbarkeit von Diensten erheblich beeinträchtigen - auch wenn dies im Allgemeinen nur von kurzer Dauer ist.
Diese Gruppe verdeutlicht gesteigerte Potenzial von Angriffen, die von Freiwilligen durchgeführt werden. Zudem werden den einflussreichsten Mitwirkenden als weiterer Anreiz sogar Zahlungen angeboten. Die Forscher von SentinelLabs gehen davon aus, dass solche Gruppen in dem heutigen, äußerst umstrittenen politischen Klima weiter gedeihen werden.