見出し画像

【S2W単独】(解説)親ロシアのハクティビストグループ「NoName057(16) 」について

Darkpedia: サイバー犯罪のダークトレンド

最近、日本は親ロシア派脅威グループによるサイバー攻撃の標的になっており、日本の機関・団体を対象にDDoS攻撃を行った「NoName057(16)」についてS2Wのアナリストグループがその特徴をまとめました。


■NoName057(16) プロファイリング

  • 2022年に登場したロシアのハクティビストグループで、「Russiophobia」(反露感情)を持つ国の様々な産業群のウェブサイトに運営が不可能なほどのDDoS攻撃を加えるのが特徴

  • 「Name057(16)」は、「DDOsia」として知られるツールを開発し、それを利用してサイバー攻撃を行っていることが知られている(右の画像)

◎攻撃の動機
・NoName057(16)は反露感情を持つと認定した国の主要政府、メディア、主力産業のウェブサイトにDDoS攻撃を加え、彼らを「懲らしめる」ことが攻撃の動力だと主張

・彼らはウクライナのゼレンスキー大統領を支持する動きを見せる国にサイバー攻撃を加える状況が継続的に確認されている

・「反露感情」だけでなく、ウクライナやNATO諸国と緊密に連携している全ての国にも無差別なサイバー攻撃を加えるのが特徴

■DDosiaとは?

  • DdosiaはNoName057(16)が2022年に開発したDDoS攻撃のためのツール

  • 現在、約10,500人がNoName057(16)が運営している「Ddosia」テレグラムチャンネルに登録して活動中

  • テレグラムチャンネルに加入した活動者はNoName057(16)の「Loyalty Check」審査後にDDoSキャンペーンに参加できるという

  • 彼らはDDoSキャンペーンに参加し、所定のビットコインを謝礼として配布されている

    • DDoS攻撃がターゲットとなったウェブサイトに相対的に高いネットワークトラフィックを加えた個々人にはビットコイン配布量に差をつけている

【DDosia活用サイクル】

Step 1)思想検証ステージ:NoName057(16)は、キャンペーン加入希望者にロシア政府に対する忠誠心などを検証する手続きを踏む

Step 2) Ddosia toolのダウンロードステージについて検証を終えた人はDDosia toolをダウンロードできる

Step 3)保有しているPCやネットワーク、脆弱なPCにDDosiaをインストールするステージ

Step 4)大規模DDOS攻撃Launch

Step 5)ターゲットウェブサイトに成功したtakedown以降、所定のビットコインを配布

Step 6) Ddosiaテレグラムチャンネルで継続的な活動

■運営テレグラムチャネルメッセージの量

  • S2Wのデータベースによると、彼らは2023年から月平均約700のメッセージをチャンネル内に送信している

  • 彼らが運営しているチャンネルは運営者だけがメッセージを発信できるという特徴があり、彼らが発信するすべてのメッセージは特定の国の企業・政府機関のドメインへのDDoS攻撃のローンチに成功したという意味

■[NoName057(16) メッセージ例]


Name057(16)がターゲットウェブサイトにDDoS攻撃を加えた後の状況をキャプチャしたもの
彼らはターゲットウェブサイトがDDoS攻撃およびプロジェクトによってアクセスが不可能だという点を大衆に誇示

彼らが最近DDoS攻撃を加えた状況と、最近集中している国・産業などに関するメッセージを作成して表示

彼らがDDoS攻撃を加えたウェブサイトのドメイン名と現在のウェブサイトが正常に動作しているかどうかをチェックするURL

■NoName057(16)がターゲットにした日本のウェブサイト