Pro-russische Hackergruppe zielt mit DDoS-Attacken auf Websites in der Ukraine

Forscher*innen von Avast verfolgen seit dem 1. Juni 2022 die Aktivitäten der pro-russischen Hackergruppe NoName057(16). Die Gruppe reagiert mit ihren Angriffen auf jeweils aktuelle politische Situationen und zielt dabei auf Unternehmen und Institutionen in der Ukraine und Organisationen in benachbarten Ländern wie Estland, Litauen, Norwegen und Polen ab

Den Untersuchungen von Avast zufolge hat die Gruppe mit ihren DDoS-Attacken eine Erfolgsquote von 40 Prozent. Unternehmen mit einer ausreichend gut geschützten Infrastruktur konnten den Angriffsversuchen widerstehen. Außerdem recherchierten die Avast-Forscher*innen, dass sich 20 Prozent der von der Gruppe für sich behaupteten Erfolge auf Angriffe beziehen, die nicht von NoName057(16) ausgingen.

Die Ziele von NoName057(16)

NoName057(16) führt ausschließlich DDoS-Angriffe durch. Anfang Juni hatte die Gruppe ukrainische Nachrichtenserver im Visier. Danach konzentrierten sie sich auf Websites von Städten, Kommunalverwaltungen, Versorgungsunternehmen, Waffenherstellern, Transportunternehmen und Postämtern in der Ukraine. Die folgenden Punkte zeigen im jeweiligen politischen Kontext, wie sich die Angriffe auch auf weitere Staaten ausweiteten:

• Mitte Juni wurden die Angriffe auch in weiteren pro-ukrainischen Staaten, zunehmend politisch motivierter. Besonders betroffen davon sind die baltischen Staaten (Litauen, Lettland und Estland). 
• Nach den EU-Sanktionen zum Warenverkehr durch die russische Ostsee-Enklave Kaliningrad nahm die Hackergruppe litauische Transportunternehmen sowie lokale Eisenbahn- und Busunternehmen ins Visier. 
• Am 1. Juli 2022 stoppten die norwegischen Behörden den Transport von Gütern, die für die Bergarbeiter des staatlichen russischen Kohlebergbauunternehmens Arktikugol bestimmt waren. Daraufhin griff die Gruppe norwegische Transportunternehmen (Kystverket, Helitrans, Boreal), den norwegischen Postdienst (Posten) und Finanzinstitute (Sbanken, Gjensidige) an.
• Anfang August, nachdem Finnland seine Absicht bekannt gegeben hatte, der NATO beizutreten, verübte NoName057(16) Anschläge auf finnische Regierungseinrichtungen wie das finnische Parlament (Eduskunta), den Staatsrat und die finnische Polizei.

Erfolgsrate 40 Prozent

NoName057(16) prahlt aktiv mit ihren erfolgreichen DDoS-Angriffen gegenüber ihren mehr als 14.000 Followern auf Telegram. Der Kanal wurde am 11. März 2022 eingerichtet. Die Gruppe berichtet hier nur über erfolgreiche DDoS-Angriffe, die angeblich ihnen zuzuordnen sind.  

„Obwohl die von der Gruppe gemeldete Anzahl erfolgreicher Angriffe hoch erscheint, deuten statistische Informationen auf das Gegenteil hin“, erklärt Martin Chlumecky, Malware-Forscher bei Avast. „Die Erfolgsquote von NoName057(16) liegt bei 40 Prozent. Wir haben die Liste der Ziele, die der C&C-Server an die Bobik-Bots sendet, mit den angeblichen Erfolgen verglichen, die die Gruppe auf ihrem Telegram-Kanal postet. Websites, die auf gut gesicherten Servern gehostet werden, können den Angriffen widerstehen. Etwa 20 Prozent der Angriffe, von denen die Gruppe behauptet, dafür verantwortlich zu sein, stimmten nicht mit den in ihren Konfigurationsdateien aufgeführten Zielen überein.“

Bobik-Bots agieren wie Soldaten

Die Hacker-Gruppe kontrolliert ungeschützte PCs auf der ganzen Welt, die mit der Malware Bobik infiziert sind und als Bots fungieren. Bobik tauchte erstmals im Jahr 2020 auf und wurde in der Vergangenheit als Fernzugriffstool verwendet. Die Malware wird von einem Dropper namens Redline Stealer verbreitet, einem Botnet-as-a-Service, für den Cyberkriminelle bezahlen, um die Malware ihrer Wahl zu verbreiten. Avast hat einige Hunderte PCs vor Bobik geschützt. Der Avast-Forscher Martin Chlumecky schätzt jedoch, dass angesichts der Effektivität und Häufigkeit der Angriffe mehrere Tausend Bobik-Bots im Umlauf sind.

Konkret sendet die Gruppe Befehle an ihre Bots über einen C&C-Server in Rumänien. Früher hatte die Gruppe zwei weitere Server in Rumänien und Russland, die jedoch nicht mehr aktiv sind. Die Bots erhalten Listen von DDoS-Zielen in Form von XML-Konfigurationsdateien, die dreimal pro Tag aktualisiert werden. Die Angreifer versuchen Anmeldeseiten, Websites zur Wiederherstellung von Passwörtern und Suchvorgänge auf der jeweiligen Website zu überlasten. 

Auswirkungen der Angriffe

Die erfolgreichsten Angriffe der Gruppe führen dazu, dass Websites dann schließlich auch für mehrere Stunden bis zu einigen Tagen nicht erreichbar sind. Um diese Art von Angriffen zu bewältigen, greifen kleinere und lokale Website-Betreiber oft auf die Blockierung von Anfragen aus dem Ausland zurück. In extremen Fällen hatten einige der von der Gruppe angegriffenen Website-Betreiber ihre Domänen abgemeldet.

„Die tatsächliche Stärke der von NoName057(16) durchgeführten DDoS-Angriffe ist jedoch fragwürdig. Nach dem Konfigurationsverlauf zu urteilen, können sie etwa dreizehn URL-Adressen auf einmal angreifen, einschließlich Subdomains“, fährt Martin Chlumecky fort. „Außerdem enthält eine XML-Konfiguration oft eine definierte Domain als eine Reihe von Subdomains, sodass die Malware Bobik effektiv fünf verschiedene Domänen innerhalb einer Konfiguration angreift. Das bedeutet, die Angreifer können sich aus Kapazitäts- und Effizienzgründen gar nicht auf mehr Domains konzentrieren.“

Die durchgeführten DDoS-Angriffe können für einige Website-Betreiber prominenter und kritischer Domains, zum Beispiel von Banken, Regierungen und internationalen Unternehmen, schwieriger zu handhaben sein. Die Avast-Forscher*innen konnten feststellen, dass größere Unternehmen nach erfolgreichen Angriffen Unternehmenslösungen wie Cloudflare oder BitNinja implementierten, die den eingehenden Datenverkehr filtern und DDoS-Angriffe in den meisten Fällen erkennen können.

Auf der anderen Seite erwarten die meisten großen, internationalen Unternehmen einen stärkeren Datenverkehr und betreiben ihre Webserver in der Cloud mit Anti-DDoS-Lösungen, was sie widerstandsfähiger gegen Angriffe macht. So gelang es der Gruppe beispielsweise nicht, die Websites der dänischen Bank Danske Bank (Angriff vom 19. bis 21. Juni 2022) und der litauischen Bank SEB (Angriffe vom 12. bis 13. Juli 2022 und vom 20. bis 21. Juli 2022) lahmzulegen.

Die erfolgreicheren Angriffe von NoName057(16) betrafen Unternehmen mit eher einfach strukturierten, informativen Websites, die beispielsweise lediglich eine „Über uns“-, eine „Mission/Vision“- und eine Kontaktseite als Unterseiten enthielten. Die Server solcher Websites sind in der Regel nicht auf eine hohe Belastung ausgelegt und verfügen oft nicht über Anti-DDoS-Techniken, was sie zu einem leichten Ziel macht. 

Wie sich Unternehmen und Verbraucher schützen können

Unternehmen können ihre Websites mit spezieller Software und Cloud-Schutz vor DDoS-Angriffen schützen. Unternehmen und Verbraucher*innen können verhindern, dass ihre Geräte als Teil eines Botnetzes verwendet werden, indem sie zuverlässige Antiviren-Software verwenden, die Malware wie Bobik erkennt und blockiert. Zu den weiteren Maßnahmen, die zum Schutz der Geräte ergriffen werden können, gehört, dass Anwender*innen nicht auf verdächtige Links oder Anhänge in E-Mails klicken, ebenso wie regelmäßige Software-Updates, um Sicherheitslücken zu schließen. Im Allgemeinen ist es nicht einfach zu erkennen, ob ein Gerät für einen DDoS-Angriff verwendet wird. Ein Hinweis könnte jedoch ein hoher Netzwerkverkehr sein, der an ein unbekanntes Ziel geht. Weitere Informationen über die Aktivitäten von NoName057(16), die Malware Bobik und die DDoS-Angriffe finden Sie im Avast Decoded Blog.

Quellen:

Avast
BleepingComputer

Lesen Sie auch: So tricksen ukrainische Hacker russische Soldaten mit Frauen-Fotos aus