NoName057(16) e DDoSia: botnet crowdsourced ataca alvos NATO
Análises mostram que o grupo NoName057(16) usa a plataforma DDoSia — um projeto crowdsourced — para executar ataques de negação de serviço contra alvos em países da OTAN e Europa, com padrão operacional persistente desde 2022.
Descoberta e escopo / O que mudou agora
Relatórios da Picus Security e investigação de inteligência indicam que NoName057(16) ampliou a utilização de voluntários recrutados via Telegram para operar ferramentas Go-based que disparam ataques coordenados. O modelo recompensa participantes com criptomoeda e permitiu escalabilidade substancial: em média 50 alvos únicos por dia, segundo a análise citada.
Vetor e exploração / Como funciona a infraestrutura
DDoSia opera com um protocolo em dois estágios: autenticação do cliente via POST para /client/login transmitindo dados do sistema (OS, kernel, CPU) e, após resposta 200 OK, os clientes requisitam alvos com GET /client/get_targets. A infraestrutura é segmentada em camadas:
- Tier 1: servidores de C2 públicos que controlam clientes e trocam comandos; rotatividade elevada (média de 9 dias, muitos mudam diariamente).
- Tier 2: backends com lógica/core e listas de alvos protegidas por ACLs, reduzindo impacto quando nós Tier 1 são bloqueados.
A operacionalização é robusta frente a remoções rápidas de nós públicos, o que aumenta a resiliência do serviço de ataque.
Impacto e alcance / Setores e países atingidos
Os dados analisados mostram que Ucrânia foi o principal alvo (29,47%), seguida por França, Itália, Suécia e Alemanha. Setor governamental representa cerca de 41% dos alvos, com transporte e telecomunicações também fortemente atingidos. Os ataques combinam TCP floods e técnicas de camada de aplicação; portas 443 e 80 concentram 66% do tráfego ofensivo.
Limites das informações / O que falta saber
As análises apontam para correlação com horários de trabalho russos, mas não há confirmação pública de direção estatal formal além de alegações históricas e ligações com entidades como CISM. Evidência de cooperação direta com atores estatais não foi documentada de forma conclusiva nos resumos públicos.
Repercussão / Recomendações para defesa
Defensores devem priorizar mitigação de DDoS (capacitação de upstream, uso de scrubbing services e rate-limiting), endurecimento de aplicações web e monitoramento de campanhas coordenadas via canais públicos. Operadores de infraestrutura crítica devem revisar dependências em serviços públicos e preparar playbooks de continuidade diante de picos sustentados em 80/443. Bloqueios simples em nós Tier 1 reduzem impacto imediato, mas a arquitetura por camadas sugere que medidas de rede e cooperação com provedores de mitigação são necessárias para resiliência de médio prazo.
Resumo: DDoSia é um projeto de ataque crowdsourced usado por NoName057(16) para campanhas persistentes contra alvos NATO; defesa exige combiner mitigations de rede e capacidade de scrubbing.