Siber güvenlik şirketi SentinelOne tarafından yayınlanan araştırmaya göre gönüllüler tarafından kurulan hacktivist grup NoName057(16), herkese açık Telegram kanallarında faaliyetlerine devam ediyorlar ve saldırılarda gruba en fazla katkı sağlayan kullanıcılara da ödeme gerçekleştiriyorlar.
Araştırmaya göre Rusya-Ukrayna savaşının başlamasıyla ortaya çıkan NoName057(16), ana hedefi ve misyonunun Rusya’nın Ukrayna’yı işgalini eleştiren ülkeler için önemli olan web sitelerine karşı Dağıtılmış Hizmet Reddi (DDoS) yöntemini kullanarak, belli bir süre hizmet vermelerini engellemek. Grubun ilk hedefleri arasında Ukrayna merkezli haber siteleri olmasına karşın daha sonrasında NATO bağlantılı hedeflere doğru bir kayma hareketi gözlemlenmiş. Grubun üstlendiği ilk DDoS saldırısı Marty 2022’de gerçekleşti ve ilk hedefleri Ukrayna haber ve medya web siteleri Zaxid, Fakty UA ve diğerlerine yönelik DDoS saldırıları oldu.
Grup, siyasi konjonktüre göre hedefleri değiştirme eğiliminde
Araştırmacılar grubun mevcut siyasi konjonktüre bağlı olarak hedefleri değiştirme eğiliminde olduğunu belirtiyor. Buna kanıt olarakta Polonya parlementosu Aralık 2022’de Rusya’yı terörizme sponsor olan bir devlet olarak tanımasından kısa bir süre sonra internet sitelerine bir saldırı gerçekleştirdiler. Ağustos 2022’de ise Finlandiya’nın NATO’ya katılmasını sebep göstererek, Finlandiya parlamentosuna saldırmıştı.
2023: Çekya cumhurbaşkanlığı seçimlerinde yer alan adayların web sitelerine saldırı düzenlendi
Grubun Ocak 2023’de yani bu ay içerisinde de birkaç faaliyeti gözlemlendi. Bunlardan bir tanesi Danimarka’nın finans sektörünü hedef alması oldu. Yine bu ay içerisinde Danimarka’daki saldırılardan önce Litvanya’daki kargo ve nakliye sektörlerini hedef aldılar. Son olarak Çekya cumhurbaşkanlığı seçimlerinde yer alan adayların web sitelerine hedef almaya başladı. Çekya’nın Ukrayna askerlerinin eğitimindeki rolüne misilleme olarak saldıran grup, cumhurbaşkanı adayı Tomas Zima’ya ait bir web sitesini indirdiğini iddia etti.
Grup, DDoS araçlarını barındırmak için Github’dan yararlandı
Araştırmacılar, grup tarafından saldırılarda kullanılan araçlarını barındırmak için Github ve şirket tarafından ücretsiz web sayfası kullanılmasına imkan veren Github Pages’den yararlandığını ortaya çıkardı. Grup, Telegram kanallarında oluşturdukları DDoS aracının en son sürümünün reklamı için dddosia.github[.]io adlı bir site oluşturmuş. Bunun yanında ilgili aracı barındıran dddosia ve kintechi341 adlı iki kullanıcı hesabıda keşfedilmiş. Keşfedilen tüm bulguların Github güvenlik ekibiyle paylaşıldığı da belirtildi.
