Les acteurs de la menace derrière le DDoSia L’outil d’attaque a mis au point une nouvelle version qui intègre un nouveau mécanisme pour récupérer la liste des cibles à bombarder de requêtes HTTP indésirables dans le but de les faire tomber.
La variante mise à jour, écrite en Golang, « implémente un mécanisme de sécurité supplémentaire pour dissimuler la liste des cibles, qui est transmise depuis le [command-and-control] aux utilisateurs », a déclaré la société de cybersécurité Sekoia dans un article technique.
DDoSia est attribué à un groupe de hackers pro-russe appelé NoName(057)16. Lancé en 2022 et successeur du botnet Bobik, l’outil d’attaque est conçu pour organiser des attaques par déni de service distribué (DDoS) contre des cibles principalement situées en Europe ainsi qu’en Australie, au Canada et au Japon.
La Lituanie, l’Ukraine, la Pologne, l’Italie, la Tchéquie, le Danemark, la Lettonie, la France, le Royaume-Uni et la Suisse sont devenus les pays les plus ciblés sur une période allant du 8 mai au 26 juin 2023. Au total, 486 sites Web différents ont été touchés.
Des implémentations de DDoSia basées sur Python et Go ont été découvertes à ce jour, ce qui en fait un programme multiplateforme capable d’être utilisé sur les systèmes Windows, Linux et macOS.
« DDoSia est une application multithread qui mène des attaques par déni de service contre des sites cibles en émettant à plusieurs reprises des requêtes réseau », a expliqué SentinelOne dans une analyse publiée en janvier 2023. « DDoSia émet des requêtes selon les instructions d’un fichier de configuration que le logiciel malveillant reçoit. à partir d’un serveur C2 au démarrage. »
DDoSia est distribué via un processus entièrement automatisé sur Telegram qui permet aux individus de s’inscrire à l’initiative participative en échange d’un paiement en crypto-monnaie et d’une archive ZIP contenant la boîte à outils d’attaque.
Ce qui est remarquable dans la nouvelle version, c’est l’utilisation du cryptage pour masquer la liste des cibles à attaquer, indiquant que l’outil est activement maintenu par les opérateurs.
« NoName057(16) s’efforce de rendre son malware compatible avec plusieurs systèmes d’exploitation, reflétant presque certainement son intention de rendre son malware accessible à un grand nombre d’utilisateurs, ce qui se traduit par le ciblage d’un ensemble plus large de victimes », a déclaré Sekoia.
Le développement intervient alors que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a mis en garde contre des attaques ciblées par déni de service (DoS) et DDoS contre plusieurs organisations dans plusieurs secteurs.
« Ces attaques peuvent coûter du temps et de l’argent à une organisation et peuvent imposer des coûts de réputation alors que les ressources et les services sont inaccessibles », a déclaré l’agence dans un bulletin.
Bien que la CISA n’ait fourni aucun détail supplémentaire, l’avertissement recoupe les affirmations d’Anonymous Sudan sur sa chaîne Telegram selon lesquelles il aurait supprimé les sites Web du Département du commerce, de l’Administration de la sécurité sociale (SSA) et du Système électronique de paiement des impôts fédéraux du Département du Trésor. (EFTPS).
Le Soudan anonyme a attiré l’attention le mois dernier pour avoir mené des attaques DDoS de couche 7 contre divers services Microsoft, notamment OneDrive, Outlook et les portails Web Azure. Le géant de la technologie suit le cluster sous le nom de Storm-1359.
L’équipe de piratage a affirmé qu’elle menait des cyberattaques depuis l’Afrique au nom des musulmans opprimés à travers le monde. Mais les chercheurs en cybersécurité pensent qu’il s’agit d’une opération pro-Kremlin sans lien avec le Soudan et membre du collectif hacktiviste KillNet.
Dans une analyse publiée le 19 juin 2023, le fournisseur australien de cybersécurité CyberCX a qualifié l’entité de « écran de fumée pour les intérêts russes ». Le site Web de l’entreprise est depuis devenu inaccessible, accueillant les visiteurs avec un message « 403 Forbidden ». L’auteur de la menace a revendiqué la responsabilité de la cyberattaque.
« La raison de l’attaque : arrêtez de répandre des rumeurs sur nous, et vous devez dire la vérité et arrêter les enquêtes que nous appelons les enquêtes d’un chien », a déclaré Anonymous Sudan dans un message publié le 22 juin 2023.
Le Soudan anonyme, dans un rapport de Bloomberg la semaine dernière, a en outre nié être lié à la Russie, mais a reconnu qu’ils partageaient des intérêts similaires et qu’il s’en prenait à « tout ce qui est hostile à l’islam ».
Le dernier avis de la CISA n’est pas non plus passé inaperçu, car le groupe a publié une réponse le 30 juin 2023, déclarant : « Un petit groupe soudanais aux capacités limitées a forcé « le gouvernement le plus puissant » du monde à publier des articles et des tweets sur nos attaques. «
