شهدت المنظمات في دول حلف شمال الأطلسي (الناتو) والدول الأوروبية تزايدًا في الهجمات السيبرانية الموجهة، حيث يقود مجموعة “NoName057(16)” هذه الجهود. تُعد هذه المجموعة، المعروفة أيضاً بـ”05716nnm” أو “NoName05716″، تهديداً بارزاً يستهدف بشكل خاص مصالح الدول الغربية التي تعارض الأهداف الجيوسياسية الروسية.
منذ مارس 2022، تنشط هذه المجموعة في شن هجمات الحرمان من الخدمة الموزعة (DDoS)، وذلك بدعم من قيادات في مركز دراسة ورصد شبكات بيئة الشباب (CISM) وبناءً على توجيهات حكومية روسية. تهدف الهجمات إلى تعطيل الخدمات واستهداف البنى التحتية الحيوية.
آلية هجمات NoName057(16) وأداة DDoSia
يعتمد النشاط الهجومي للمجموعة بشكل أساسي على “مشروع DDoSia”، وهو شبكة بوت نت جماعية تعتمد على تجنيد متطوعين عبر قنوات تيليجرام. يتم تزويد هؤلاء المتطوعين بأدوات هجوم سهلة الاستخدام تعتمد على لغة البرمجة Go، مع مكافأتهم بعملات مشفرة مقابل مشاركتهم.
يشكل هذا النموذج القائم على المتطوعين وسيلة فعالة لتوسيع نطاق الهجمات ضد أهداف متنوعة. ما يميز DDoSia عن شبكات البوت نت التقليدية هو بساطتها، مما يتيح للأفراد ذوي الخبرة التقنية المحدودة المشاركة في هجمات منسقة.
في عام 2024، عززت “NoName057(16)” نفوذها عبر شراكات مع مجموعات قرصنة أخرى موالية لروسيا، أبرزها “الجيش السيبراني لروسيا الوليدة”، مما ساهم لاحقاً في تشكيل مجموعة Z-Pentest في سبتمبر 2024.
الآلية التقنية للهجوم
حدد محللو شركة Picus Security بروتوكول اتصال متطور من مرحلتين يدعم البنية التحتية لهجمات DDoSia. تبدأ العملية بالمصادقة الأولية للعميل عبر طلب HTTP POST إلى نقطة النهاية /client/login للخادم الذي يتحكم في القيادة. هنا، يرسل العميل معلومات مشفرة حول النظام، بما في ذلك تفاصيل نظام التشغيل وإصدار النواة ومواصفات وحدة المعالجة المركزية.
بعد المصادقة الناجحة، والتي تتمثل في استجابة 200 OK تحتوي على طابع زمني Unix، ينتقل العميل إلى المرحلة الثانية. تتضمن هذه المرحلة طلب تكوينات الأهداف عبر طلب GET إلى /client/get_targets.
تعتمد البنية التحتية التشغيلية على هيكل مرن ومتعدد الطبقات مصمم لتجنب الكشف والتخفيف. تتألف الطبقة الأولى من خوادم قيادة وتحكم عامة تتواصل مباشرة مع عملاء DDoSia، بمتوسط عمر يبلغ حوالي تسعة أيام، على الرغم من أن العديد منها يتغير يومياً.
تحتفظ خوادم الواجهة الخلفية للطبقة الثانية بالمنطق الأساسي وقوائم الأهداف، ويتم التحكم في الوصول إليها بإحكام عبر قوائم التحكم في الوصول التي تسمح بالاتصال فقط من خوادم الطبقة الأولى المصرح بها. يضمن هذا التقسيم بقاء البنية التحتية الأساسية تعمل حتى في حالة تحديد وحظر عقد الطبقة الأولى.
أنماط الهجوم والأهداف الرئيسية
تكشف التحليلات عن وتيرة تشغيل عالية، حيث يتم استهداف ما متوسطه 50 هدفاً فريداً يومياً. تتوافق أنماط النشاط بشكل كبير مع ساعات العمل القياسية في روسيا.
تُمثّل أوكرانيا الحصة الأكبر من الهجمات بنسبة 29.47%، تليها فرنسا بنسبة 6.09%، ثم إيطاليا بنسبة 5.39%، والسويد بنسبة 5.29%، وألمانيا بنسبة 4.60%. تشكل القطاعات الحكومية 41.09% من الأهداف، بينما تتأثر قطاعات النقل والاتصالات بشكل كبير أيضاً.
تستخدم الهجمات بشكل سائد تقنيات TCP floods وهجمات طبقة التطبيقات، مع استحواذ المنفذين 443 و 80 على 66% من حركة المرور. وتشكل استهدافات DDoSia تهديداً مستمراً للاستقرار الرقمي.