DDoSia: أداة الهجمات السيبرانية المدفوعة بالمتطوعين

تستخدم مجموعة من القراصنة النشطاء المؤيدين لروسيا المعروفة باسم NoName057(16) أداة توزيع هجمات الحرمان من الخدمة (DDoS) التي يتم توزيعها عبر المتطوعين لتعطيل مواقع الحكومة ووسائل الإعلام والمؤسسات المرتبطة بأوكرانيا والمصالح السياسية الغربية. تعمل المجموعة منذ عام 2022 على الأقل وتعتمد على منصة مخصصة للحرمان من الخدمة تُعرف باسم DDoSia، والتي تتيح للأفراد ذوي المهارات التقنية المحدودة المشاركة في هجمات منسقة ضد الكيانات المستهدفة.

غالبًا ما تتزامن حملات NoName057(16) مع أحداث جيوسياسية كبرى، مثل العقوبات الغربية أو الإجراءات الدبلوماسية أو إعلانات المساعدات العسكرية، التي تُصنفها بسرعة على أنها استفزازات تستحق الرد من خلال الهجمات السيبرانية، مما يجعلها مشابهة لعمليات سيبرانية مدفوعة بالأيديولوجيا.

حملات مستمرة مدفوعة سياسيًا

يقول آرون يورنيت، باحث التهديدات في SOCRadar، الذي أصدر تحليلًا مفصلًا للعملية هذا الأسبوع: "تدير NoName057(16) برنامج DDoS مستمر مدفوع سياسيًا يبدو أكثر مثل 'عملية مجتمعية' منظمة بدلاً من شبكة بوت كلاسيكية." ويضيف: "DDoSia هي أداة مصممة خصيصًا، يتم توزيعها من خلال نموذج تطوعي حيث يقوم المشاركون بتثبيت العميل عن علم، ويتلقون أهدافًا وإعدادات من بنية تحتية للقيادة والتحكم، ويظلون متفاعلين من خلال الدعاية والحوافز الموجهة للألعاب."

أظهر تحليل SOCRadar أن NoName057(16) تستخدم خطة قابلة للتكرار عند تنفيذ هجماتها المخطط لها بعناية. بعد تحديد أهدافها، تقوم مجموعة القراصنة النشطاء ببث الحملة القادمة عبر شبكات اتصالاتها، مستخدمةً البلاغة السياسية والدعاية لتحفيز المؤيدين على المشاركة في العملية المخطط لها. وجد SOCRadar أن NoName057(16) تتواصل غالبًا مع المؤيدين حول تفاصيل الحملة عبر قنوات مثل تيليجرام وX.

تشمل المرحلة التالية توزيع معلمات الهجوم على جميع المؤيدين الذين تطوعوا لتشغيل عميل DDoSia على أنظمتهم. توفر خوادم القيادة والتحكم المدارة من قبل NoName057(16) معلومات الهدف والإعدادات الفنية للمشاركين، مما يسمح بتنسيق الهجمات عبر مئات أو آلاف العقد التي يديرها المتطوعون. يتم تعيين أنواع هجمات محددة للمتطوعين بناءً على قدرات أنظمتهم، مما يمكّن المجموعة من الحفاظ على الضغط على الخدمات المستهدفة لساعات أو حتى أيام في كل مرة.

يقول يورنيت: "تركز NoName057(16) على الكفاءة والاستمرارية بدلاً من عرض النطاق الترددي المفرط." "تستخدم المجموعة تقنيات على مستوى التطبيق مثل إساءة استخدام HTTP وHTTP/2، وفيضانات HTTP HEAD، وطرق الاتصال البطيئة، وكسر التخزين المؤقت لإجبار الحركة على تجاوز [شبكات توصيل المحتوى] وتحميل خوادم الأصل."

مزعجة ولكن غير مدمرة

يقول يورنيت إن SOCRadar لم تتمكن من تحديد حجم حركة مرور DDoS التي تولدها NoName057(16) عادةً في هجماتها المدفوعة بالمتطوعين، لأن البيانات عادةً ما تحتفظ بها شبكات توصيل المحتوى ومزودو خدمات الإنترنت والمنظمات الوطنية للاستجابة للطوارئ. "بدلاً من ذلك، تقيس SOCRadar النطاق من خلال تكرار الهجمات ونطاقها. تُعتبر معظم الهجمات مزعجة ولكن غير مدمرة، مما يبرز الاستمرارية والتكرار والتنسيق كقوى رئيسية للمجموعة بدلاً من التعقيد الفني أو الهجمات المدمرة للبنية التحتية عالية الحجم.

ومع ذلك، كانت NoName057(16) فعالة في التسبب في تعطيلات قصيرة الأجل للخدمات سابقًا، خاصة ضد مواقع الحكومة والقطاع العام ذات الحماية المحدودة ضد DDoS.

بعد كل حملة، يركز مشغلو NoName057(16) على الرؤية والتعزيز. ينشر المشغلون لقطات شاشة، وتأكيدات على الانقطاعات، وإحصائيات الأداء عبر منصات التواصل الاجتماعي لإبقاء المؤيدين على اطلاع حول نتائج كل هجوم. يتوفر نظام داخلي للمتصدرين ونظام مكافآت للحفاظ على تفاعل المشاركين. ثم تستعرض المجموعة فعالية العملية، وتعدل البنية التحتية أو الأدوات حسب الحاجة، وتبدأ في التحضير للحملة التالية - مما يخلق دورة مستمرة من الاختيار والتنفيذ والتنقيح.

تطورت أداة الهجوم DDoSia نفسها بشكل مطرد على مر السنين. كانت النسخة الأولى أكثر من إثبات مفهوم وعملت فقط على أنظمة Windows. مع مرور الوقت، استمرت NoName057(16) في تطوير الأداة وتحويلها إلى سلاح نسبي معقد، متعدد المنصات وقابل للعمل على أنظمة Linux والأجهزة المعتمدة على ARM وWindows وAndroid. تتضمن الأداة الآن طرق هجوم متعددة وآليات C2 مشفرة وأكثر مقاومة.

يقول SOCRadar في تقريره: "واحدة من أهم جوانب DDoSia هي بلا شك قدرتها على تنفيذ هجمات مختلفة اعتمادًا على قدرات العقدة والهدف. وهذا يسمح لها بالتكيف والبقاء فعالة حسب الحملة والجهاز الذي يشن الهجوم."