Les acteurs de la menace derrière le DDoSia L’outil d’attaque a mis au point une nouvelle version qui intègre un nouveau mécanisme pour récupérer la liste des cibles à bombarder de requêtes HTTP indésirables dans le but de les faire tomber.
La variante mise à jour, écrite en Golang, « implémente un mécanisme de sécurité supplémentaire pour dissimuler la liste des cibles, qui est transmise depuis le [command-and-control] aux utilisateurs », la société de cybersécurité Sekoia a dit dans une rédaction technique.
DDoSia est attribué à un groupe de hackers pro-russe appelé Sans nom(057)16. Lancé en 2022 et successeur du Le botnet Bobikl’outil d’attaque est conçu pour organiser des attaques par déni de service distribué (DDoS) contre des cibles principalement situées en Europe ainsi qu’en Australie, au Canada et au Japon.
La Lituanie, l’Ukraine, la Pologne, l’Italie, la Tchéquie, le Danemark, la Lettonie, la France, le Royaume-Uni et la Suisse sont devenus les pays les plus ciblés sur une période allant du 8 mai au 26 juin 2023. Au total, 486 sites Web différents ont été touchés.
Des implémentations de DDoSia basées sur Python et Go ont été découvertes à ce jour, ce qui en fait un programme multiplateforme capable d’être utilisé sur les systèmes Windows, Linux et macOS.
« DDoSia est une application multithread qui mène des attaques par déni de service contre des sites cibles en émettant à plusieurs reprises des requêtes réseau », SentinelOne expliqué dans une analyse publiée en janvier 2023. « DDoSia émet des requêtes selon les instructions d’un fichier de configuration que le logiciel malveillant reçoit d’un serveur C2 au démarrage. »
DDoSia est distribué via un processus entièrement automatisé sur Telegram qui permet aux individus de s’inscrire à l’initiative participative en échange d’un paiement en crypto-monnaie et d’une archive ZIP contenant la boîte à outils d’attaque.
Ce qui est remarquable dans la nouvelle version, c’est l’utilisation du cryptage pour masquer la liste des cibles à attaquer, indiquant que l’outil est activement maintenu par les opérateurs.
« NoName057(16) s’efforce de rendre son malware compatible avec plusieurs systèmes d’exploitation, reflétant presque certainement son intention de rendre son malware accessible à un grand nombre d’utilisateurs, ce qui se traduit par le ciblage d’un ensemble plus large de victimes », a déclaré Sekoia.
Le développement intervient alors que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a mis en garde contre des attaques ciblées par déni de service (DoS) et DDoS contre plusieurs organisations dans plusieurs secteurs.
« Ces attaques peuvent coûter du temps et de l’argent à une organisation et peuvent imposer des coûts de réputation alors que les ressources et les services sont inaccessibles », a déclaré l’agence. a dit dans un bulletin.
Bien que la CISA n’ait fourni aucun détail supplémentaire, l’avertissement recoupe les affirmations de Soudan anonyme sur sa chaîne Telegram qu’il avait supprimé les sites Web du Département du commerce, de l’Administration de la sécurité sociale (SSA) et du Système électronique de paiement de l’impôt fédéral (EFTPS) du Département du Trésor.
Le Soudan anonyme a attiré l’attention le mois dernier pour avoir mené des attaques DDoS de couche 7 contre divers services Microsoft, notamment OneDrive, Outlook et les portails Web Azure. Le géant de la technologie suit le cluster sous le nom de Storm-1359.
L’équipe de piratage a affirmé qu’elle menait des cyberattaques depuis l’Afrique au nom des musulmans opprimés à travers le monde. Mais les chercheurs en cybersécurité pensent qu’il s’agit d’une opération pro-Kremlin sans lien avec le Soudan et membre du collectif hacktiviste KillNet.
Dans une analyse publiée le 19 juin 2023, le fournisseur australien de cybersécurité CyberCX caractérisé l’entité comme un « écran de fumée pour les intérêts russes ». Le site Web de l’entreprise est depuis devenu inaccessible, accueillant les visiteurs avec un message « 403 Forbidden ». L’auteur de la menace a revendiqué la responsabilité de la cyberattaque.
« La raison de l’attaque : arrêtez de répandre des rumeurs sur nous, et vous devez dire la vérité et arrêter les enquêtes que nous appelons les enquêtes d’un chien », a déclaré Anonymous Sudan dans un message publié le 22 juin 2023.
Soudan anonyme, dans un Rapport Bloomberg la semaine dernière, a en outre nié qu’il était lié à la Russie, mais a reconnu qu’ils partageaient des intérêts similaires et qu’il s’en prenait à « tout ce qui est hostile à l’islam ».
Le dernier avis de la CISA n’est pas non plus passé inaperçu, car le groupe a publié une réponse le 30 juin 2023, déclarant : « Un petit groupe soudanais aux capacités limitées a forcé « le gouvernement le plus puissant » du monde à publier des articles et des tweets sur nos attaques. «