Anatomie von DDoSia: NoName057(16)s DDoS-Infrastruktur und Targeting

Insikt Group Logo

Stichtag der Analyse: 17. Juli 2025

Executive Summary

Die Insikt Group verfolgte pro-russische Hacktivisten „NoName057(16)“, die in den letzten 13 Monaten (1. Juli 2024 bis 14. Juli 2025) mehr als 3.700 einzigartige Hosts ins Visier nahmen. Die angegriffenen Hosts waren hauptsächlich Regierungs- und öffentliche Einrichtungen in europäischen Ländern, die sich gegen die Invasion Russlands in die Ukraine stellten. NoName057(16) tauchte im März 2022 auf, nur wenige Tage nach der groß angelegten Invasion Russlands in die Ukraine, und führt seitdem über seine von Freiwilligen betriebene „DDoSia“-Plattform eine anhaltende, groß angelegte Distributed-Denial-of-Service-Kampagne (DDoS) durch. Die Bedrohungsgruppe hält ein hohes operatives Tempo aufrecht und greift täglich durchschnittlich 50 einzigartige Ziele an, wobei Hochphasen mit geopolitischen und militärischen Entwicklungen in der Ukraine korrelieren. Darüber hinaus führte die Insikt Group unter Nutzung von Recorded Future Network Intelligence und zusätzlichen Methoden eine umfassende technische Analyse durch, die eine mehrstufige Infrastruktur aufdeckte, bestehend aus schnell rotierenden Tier-1-Command-and-Control-Servern (C2) und Tier-2-Servern, die durch Zugriffskontrolllisten (ACLs) geschützt sind, um den Upstream-Zugriff zu beschränken und eine zuverlässige C2-Funktionalität zu gewährleisten. Schließlich deutet die Lebensmusteranalyse stark darauf hin, dass NoName057(16) seine Operationen innerhalb einer russischen Zeitzone durchführt.

Kurzfristig sollten Verteidiger bewährte Sicherheitsverfahren anwenden, indem sie mehrschichtigen DDoS-Schutz implementieren, Content Delivery Networks (CDNs) nutzen, Web Application Firewalls (WAFs) konfigurieren, Netzwerkkontrollen wie IP-Blockierung und Ratenbegrenzung durchsetzen und einen getesteten Plan für die Reaktion auf Vorfälle erstellen, der Verfahren für Geschäftskontinuität, Kommunikation und Eskalation umfasst. Diese Abwehrstrategien sollten durch Investitionen in Situationsbewusstsein ergänzt werden, um aufkommende DDoS-Kampagnen zu antizipieren, die Aktivitäten von Bedrohungsakteuren in Foren und Koordinationskanälen zu überwachen und Vorfälle zu verfolgen, die andere Organisationen und Länder betreffen, da diese häufig als Frühindikatoren für umfassendere Angriffe dienen. Darüber hinaus wird erwartet, dass die Strafverfolgungsbehörden auch weiterhin eine Rolle bei der Bekämpfung solcher Aktivitäten spielen werden, wie die Operation Eastwood zwischen dem 14. und 17. Juli 2025 gezeigt hat. Die langfristige Wirksamkeit solcher Bemühungen bleibt jedoch ungewiss.

Von Hacktivisten initiierte DDoS-Angriffe, staatlich geförderte oder staatlich unterstützte Pseudo-Ransomware-Operationen, Desinformationskampagnen, physische Sabotageakte und andere asymmetrische Operationen sind zu einem festen Bestandteil geopolitischer Konflikte geworden, die bewusst so kalibriert sind, dass sie unterhalb der Schwelle konventioneller Kriegsführung bleiben. Organisationen, die in diesen hybriden Kriegsgebieten – in diesem Fall in europäischen NATO-Ländern – tätig sind, müssen sich darauf einstellen, dass diese Bedrohung langfristig bestehen bleibt. Unabhängig vom spezifischen geopolitischen Kontext wird immer deutlicher, dass Staaten solche Aktivitäten sowohl direkt durchführen als auch nichtstaatliche Akteure kooptieren werden, um ihre strategischen Ziele voranzutreiben. Dementsprechend sollte die genaue Beobachtung dieser sich entwickelnden Bedrohungslandschaft und die Überwachung geopolitischer Spannungen ein wesentlicher Bestandteil jeder effektiven Risikomanagementstrategie sein.

Wichtige Erkenntnisse

Hintergrund

NoName057(16)

NoName057(16) ist eine prorussische Hacktivistengruppe, die im März 2022, kurz nach der groß angelegten Invasion Russlands in die Ukraine, entstand. Die Bedrohungsgruppe ist dafür bekannt, Distributed-Denial-of-Service-Angriffe (DDoS) gegen die Ukraine und ihre Verbündeten, insbesondere NATO-Mitglieder, durchzuführen. Die Aktivitäten der Bedrohungsgruppe sind nicht finanziell motiviert, sondern werden von einer politischen Agenda angetrieben, die im russischen Nationalismus verwurzelt ist. NoName057(16) betreibt ein Modell auf freiwilliger Basis, rekrutiert Teilnehmer über seine Telegram-Kanäle, stellt ihnen die erforderlichen Werkzeuge und die Infrastruktur zur Verfügung und belohnt die Mitwirkenden mit Kryptowährung.

Die Ausrichtung der Bedrohungsgruppe auf die strategischen Interessen Russlands ist klar und sie fungiert als inoffizieller Cyberkriegsführungsapparat für Russland. Diese Verbindung wird durch die öffentlichen Mitteilungen der Bedrohungsgruppe auf Telegram kontinuierlich verstärkt, wo sie ihre Angriffe als direkte Vergeltung für Maßnahmen der Gegner Russlands darstellt. Beispielsweise rechtfertigte NoName057(16) Angriffe auf die litauische Infrastruktur als „Rache für Kaliningrad“ nach der Verhängung von EU-Sanktionen, nahm dänische Finanzinstitute wegen Dänemarks Unterstützung der Ukraine ins Visier und griff italienische Websites an, nachdem der italienische Präsident „russophobe“ Äußerungen gemacht hatte. Dieses Muster hebt die Rolle der Bedrohungsgruppe als digitale Partisanen hervor, die im Sinne der geopolitischen Erzählung Russlands agieren und darauf abzielen, Organisationen zu stören, die sie als feindlich erachten.

Das DDoSia-Projekt

Die Hauptwaffe der Bedrohungsgruppe ist ein benutzerdefiniertes DDoS-Tool namens „DDoSia“, der Nachfolger eines früheren Botnetzes namens Bobik. Das Tool erleichtert DDoS-Angriffe auf Anwendungsebene, indem es Zielwebsites mit einer großen Menge an nutzlosen Anfragen überflutet. Der operationale Rahmen, der dieses Tool umgibt, ist als „DDoSia Project“ bekannt und umfasst das gesamte Ökosystem von Tools, Infrastruktur und Freiwilligen. Der DDoSia-Client ist ein benutzerfreundliches Go-basiertes Tool, das mit einem C2-Server kommuniziert, um eine Liste von Zielen zu erhalten. Freiwillige führen das Tool auf ihren Geräten aus und verwenden einen eindeutigen „User Hash“ als Zugriffsschlüssel. Dieser Schlüssel ist erforderlich, um Ziele zu empfangen und an Angriffen teilzunehmen, eine Methode, die wahrscheinlich dazu dient, die Analyse durch Sicherheitsforscher zu erschweren. Das Tool ist so konzipiert, dass es einfach zu bedienen ist, sodass auch Personen mit wenig bis gar keiner technischen Expertise an den Operationen der Bedrohungsgruppe teilnehmen können.

In diesem Bericht bezieht sich der Begriff „Operatoren“ auf die Bedrohungsakteure, die für die Entwicklung des DDoSia-Projekts und die Erstellung von Ziellisten für NoName057(16) verantwortlich sind, während sich der Begriff „Freiwillige“ auf die Personen bezieht, die Angriffe mithilfe des DDoSia-Tools durchführen.

Operation Eastwood

Die Operation Eastwood, die zwischen dem 14. Juli 2025 und dem 17. Juli 2025 durchgeführt wurde, beinhaltete internationale Strafverfolgungsmaßnahmen gegen die Hacktivisten-Gruppe NoName057 (16). Zu diesen Maßnahmen gehörten zwei Festnahmen (eine vorläufige Festnahme in Frankreich und eine in Spanien), sieben Haftbefehle (sechs aus Deutschland und einer aus Spanien) sowie 24 Hausdurchsuchungen in der Tschechischen Republik, Frankreich, Deutschland, Italien, Polen und Spanien.

Als Reaktion auf die Operation Eastwood wies der offizielle Telegram-Account von NoName057(16) die Strafverfolgungsmaßnahme zurück und forderte seine Anhänger auf, „diesen ganzen Unsinn der ausländischen Geheimdienste“ nicht zu glauben. Er bekräftigte zudem sein anhaltendes Engagement im Informationskrieg zur Unterstützung Russlands.

Bedrohungs-/technische Analyse

DDoSia Communication

Die Analyse des DDoSia-Clients durch die Insikt Group ergab einen zweistufigen Prozess zum Abrufen der Zielliste vom C2-Server. Der Prozess beginnt mit einer anfänglichen Registrierung und Authentifizierung des Kunden, nach der der Kunde die verschlüsselte Zielliste abruft. Der gesamte Kommunikationsfluss von DDoSia wird in Abbildung 1 veranschaulicht.

Abbildung 1: DDoSia C2-Kommunikationsfluss (Quelle: Recorded Future)

Stufe 1: Client-Login und Registrierung

Der DDoSia-Client initiiert die Kommunikation, indem er eine HTTP POST-Anforderung an den Endpunkt des C2-Servers /client/login sendet. Diese Anforderung registriert den Client beim C2-Server und überprüft seine Authentizität.

Die Anfrage-Header sind so konzipiert, dass sie legitimen Browser-Datenverkehr imitieren, indem eine zufällig ausgewählte legitime User-Agent-Zeichenfolge verwendet wird. Ein wesentlicher Bestandteil der Anfrage ist der Cookie-Header, der zwei entscheidende Werte enthält:

Der Hauptteil der POST-Anfrage enthält eine JSON-Nutzlast mit detaillierten Systeminformationen des Client-Computers (siehe Abbildung 2). Diese Informationen umfassen den SystemUserName, das OS, die KernelVersion, die PlatformFamily und die CPUCores, sowie weitere Details.

POST /client/login HTTP/1.1
Host: 38.180.143[.]83
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 16_1_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 [LinkedInApp]/9.28.7586
Content-Length: 515
Accept: text/html,application/xhtml+xml,application/xml,
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.5
Content-Type: application/json
Cookie: U=<REDACTED>; C=<REDACTED>

{"body":"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"}

Figur 2: POST-Anforderung zur Client-Anmeldung (Quelle: Recorded Future)

Diese Nutzlast wird mit AES-GCM verschlüsselt, bevor sie an den C2-Server gesendet wird. Der Verschlüsselungsschlüssel wird dynamisch mithilfe einer Kombination aus dem Benutzer-Hash und der Client-ID generiert. Der entschlüsselte Wert des Feldes im Abbildung 2 kann in Abbildung 3 gesehen werden.

{
    "key": "<REDACTED>",
    "user": "<REDACTED>",
    "client": "<REDACTED>",
    "inf": {
        "SystemUserName": "DESKTOP-QOG2741",
        "OS": "windows",
        "KernelVersion": "10.0.19041.2965 Build 19041.2965",
        "KernelArch": "x86_64",
        "PlatformFamily": "Standalone Workstation",
        "CPUCores": 8,
        "RegisterTime": "2025-07-10T14:22:18.134954+01:00",
        "TimeZone": "CEST"
    }
}

Figur 3: Entschlüsselte Client-Login-Nutzlast (Quelle: Recorded Future)

Nach erfolgreicher Validierung antwortet der C2-Server mit einem 200 OK-Status und einem Body, der einen UNIX-Zeitstempel enthält (wie in Abbildung 4 zu sehen ist), der in nachfolgenden Anfragen nicht erforderlich ist.

HTTP/1.1 200 OK
Server: nginx/1.18.0 (Ubuntu)
Datum: Fr, 14. Juni 2024 15:18:17 GMT
Inhaltstyp: text/plain; charset=utf-8
Inhaltslänge: 19
Verbindung: keep-alive

1718378297196554765

Figur 4: Antwort des C2-Servers auf die Anmeldeanfrage (Quelle: Recorded Future)

Stufe 2: Ziele werden abgerufen

Nach erfolgreicher Registrierung fährt der Client mit der zweiten Phase fort: die Liste der Angriffsziele abzurufen. Sie sendet eine HTTP-GET-Anfrage an den Endpunkt /client/get_targets.

Die Header für diese Anfrage sind ähnlich wie die der ersten, aber der Cookie-Header wurde aktualisiert, um einen dritten Parameter K einzuschließen. Dieser K-Wert ist eine zufällig generierte, Base32-kodierte 256-Byte-Sequenz.

GET /client/get_targets HTTP/1.1
Host: 38[.]180[.]143[.]83
User-Agent: Mozilla/5.0 (X11; U; Linux i586; en-US; rv:1.0.0) Gecko/20020623 Debian/1.0.0-0.woody.1
Accept: text/html,application/xhtml+xml,application/xml,
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.5
Content-Type: application/json
Cookie: U=<REDACTED>; C=<REDACTED>; K=NUYZ6Z7M42<REDACTED>DMA6NLJ4YAM======

Abbildung 5: GET-Anfrage für Angriffsziele (Quelle: Recorded Future)

Der C2-Server antwortet mit einem JSON-Objekt, das die Angriffsziele enthält. Diese Daten werden mit demselben AES-GCM-Algorithmus und Schlüssel aus der Anmeldephase verschlüsselt. Der Client entschlüsselt diese Antwort, um die Klartext-JSON-Konfiguration abzurufen, die die Liste der Ziele enthält, die im DDoS-Angriff angegriffen werden sollen.

HTTP/1.1 200 OK
Server: nginx/1.18.0 (Ubuntu)
Datum: Fr, 14. Juni 2024 15:18:17 GMT
Inhaltstyp: text/plain; Zeichensatz=utf-8
Inhaltslänge: 549 871
Verbindung: keep-alive

{"data":"aCeegN8A+CvFX11L17b8dZpk67zwVZtTMR8R0ZhDrn3rNpFTq55dyjJ2pw8etiyLlW3SIr8c3XVcmBpjzNXdHZYyqi8SVByLp4clIi+7gGT84....../rblN+dJq8037tw9y7HtnapY887JRLFP0ao83w1YYed3jvjwFWWCu0vMvTjjKzuxXPDFb8KXWUMJw=="}<REDACTED>

Abbildung 6: Verschlüsselte C2-Antwort mit Zielliste (Quelle: Recorded Future)

Der entschlüsselte Klartext ist ein JSON-Objekt, das zwei Hauptschlüssel enthält: Ziele und zufällige Auswahlen (Randoms). Der Ziele-Schlüssel enthält ein Array von Objekten, von denen jedes ein spezifisches Angriffsziel definiert. Jedes Zielobjekt enthält Details wie Ziel_id, Host, Port und den Angriffstyp (zum Beispiel http2). Der Randoms-Schlüssel enthält ein Array von Objekten, die Parameter zum Generieren zufälliger Daten definieren, die an Anforderungen angehängt werden sollen. Dies ist wahrscheinlich eine Technik, um den Angriffsverkehr variabler zu gestalten, um einfache Filtermechanismen und das Caching zu umgehen. Zum Beispiel gibt ein Objekt an, dass eine 11-stellige numerische Zeichenfolge generiert werden soll, die als zufälliger Parameter in einer URL verwendet werden könnte (siehe Abbildung 7).

{
    "targets": [
        {
            "target_id": "64865791f747b0b90020d960",
            "request_id": "64865791f747b0b90020d961",
            "host": "<REDACTED>",
            "ip": "<REDACTED>",
            "type": "http2",
            "method": "GET",
            "port": 443,
            "use_ssl": true,
            "path": "",
            "body": {
                "type": "str",
                "value": ""
            },
            "headers": null
        },
        ...
    ],
    "randoms": [
        {
            "name": "Телефон",
            "id": "62d8286fddcbb37b0c77c87f",
            "digit": true,
            "upper": false,
            "lower": false,
            "min": 11,
            "max": 11
        },
        ...
    ]
}

Abbildung 7: Entschlüsseltes JSON-Objekt mit Angriffszielen (Quelle: Recorded Future)

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.