Tập đoàn tin tặc NoName057(16) thân Nga đã được ghi nhận thực hiện các cuộc tấn công mạng từ chối dịch vụ phân tán (DDoS) chống lại hơn 3.700 máy chủ độc nhất, chủ yếu nhắm vào các thực thể chính phủ và khu vực công ở các quốc gia Châu Âu liên kết chống lại cuộc xung đột ở Ukraine. Hoạt động này làm nổi bật sự phức tạp và quy mô của các tấn công mạng hacktivist hiện nay.
Tổng quan về NoName057(16) và Các Cuộc Tấn công DDoS
NoName057(16) xuất hiện vào tháng 3 năm 2022, giữa bối cảnh xung đột toàn diện, và đã nhanh chóng trở thành một mối đe dọa đáng kể trong không gian an ninh mạng. Nhóm này tận dụng nền tảng DDoSia do tình nguyện viên điều hành để tổ chức các chiến dịch DDoS lớp ứng dụng quy mô lớn, làm quá tải các mục tiêu bằng các yêu cầu HTTP rác nhằm phá vỡ khả dụng dịch vụ. Tần suất hoạt động của nhóm cực kỳ cao, trung bình 50 mục tiêu khác nhau mỗi ngày và đạt đỉnh 91 mục tiêu trong các giai đoạn leo thang căng thẳng địa chính trị, chẳng hạn như các diễn biến quân sự ở Ukraine.
Cơ chế Hoạt động và Hạ tầng Command-and-Control (C2)
Kiến trúc Command-and-Control (C2) Đa tầng
Các nhà nghiên cứu, thông qua phân tích từ Recorded Future Network Intelligence, đã phát hiện ra một kiến trúc Command-and-Control (C2) đa tầng phức tạp. Kiến trúc này nổi bật với các máy chủ C2 Cấp 1 được luân chuyển nhanh chóng, có tuổi thọ trung bình chỉ chín ngày. Các máy chủ Cấp 1 này được đưa vào danh sách trắng (whitelisted) độc quyền để kết nối với các máy chủ C2 Cấp 2, vốn được củng cố bằng các danh sách kiểm soát truy cập (ACLs) nhằm hạn chế truy cập từ upstream và duy trì khả năng bền vững của C2.
Mẫu hình Hoạt động và Định hướng Mục tiêu
Dữ liệu đo từ xa về mẫu hình hoạt động chỉ ra rằng các chiến dịch của nhóm tuân thủ múi giờ của Nga. Điều này được thể hiện rõ qua việc bổ sung mục tiêu theo hai làn sóng vào các ngày trong tuần, đạt đỉnh vào 05:00-07:00 UTC và 11:00 UTC, gợi ý một lịch trình làm việc tiêu chuẩn theo giờ Moscow. Phân tích định hướng địa lý và lĩnh vực cho thấy một sự tập trung rõ ràng. Các thực thể Ukraine chiếm 29.47% các cuộc tấn công mạng, tiếp theo là Pháp (6.09%), Ý (5.39%) và Thụy Điển (5.29%). Mặc dù Hoa Kỳ hỗ trợ Ukraine, nhưng nước này lại chứng kiến hoạt động tấn công tối thiểu từ nhóm này. Về lĩnh vực, chính phủ và khu vực công chịu ảnh hưởng nặng nề nhất với 41.09%, trong khi lĩnh vực giao thông/logistics (12.44%) và công nghệ/truyền thông (10.19%) cũng là các mục tiêu đáng kể của các cuộc tấn công mạng này.
Công cụ và Giao thức Giao tiếp
Nền tảng DDoSia và Công cụ Client
NoName057(16) được thúc đẩy bởi chủ nghĩa dân tộc Nga chứ không phải lợi ích tài chính. Nhóm này tuyển dụng tình nguyện viên thông qua Telegram, trang bị cho họ client DDoSia dựa trên ngôn ngữ Go. Đây là một phiên bản kế nhiệm của botnet Bobik, sử dụng mã hóa AES-GCM cho các giao tiếp C2. Tình nguyện viên xác thực bằng cách sử dụng các User Hashes và Client ID duy nhất, sau đó gửi siêu dữ liệu hệ thống dưới dạng tải trọng JSON để lấy danh sách mục tiêu đã được mã hóa. Danh sách này bao gồm các tham số tấn công HTTP/2, cổng và dữ liệu bổ sung ngẫu nhiên để né tránh các bộ lọc bảo mật.
Giao thức Giao tiếp DDoSia
Giao thức giao tiếp DDoSia diễn ra theo hai giai đoạn chính, được thiết kế để bắt chước lưu lượng truy cập trình duyệt hợp pháp với các User-Agent ngẫu nhiên nhằm cản trở kỹ thuật đảo ngược và duy trì tính ẩn danh cho tình nguyện viên. Điều này thể hiện một sự tinh vi trong cách thức tổ chức các tấn công mạng của nhóm.
// Giai đoạn 1: Đăng ký Client và Gửi Dấu vân tay Thiết bị
// Phương thức: HTTP POST
// Đường dẫn: /client/login
// Mục đích: Đăng ký client với máy chủ C2.
// Dữ liệu gửi: Payload JSON được mã hóa, chứa dấu vân tay thiết bị như phiên bản kernel hệ điều hành và số lõi CPU.
// Giai đoạn 2: Lấy Danh sách Mục tiêu Tấn công
// Phương thức: HTTP GET
// Đường dẫn: /client/get_targets
// Mục đích: Truy xuất danh sách các mục tiêu cho các cuộc tấn công DDoS.
// Dữ liệu nhận: Mảng JSON được mã hóa AES chứa các mục tiêu và các quy tắc ngẫu nhiên hóa.
// Ví dụ quy tắc ngẫu nhiên hóa: Các chuỗi số 11 chữ số để tạo biến thể URL, giúp né tránh phát hiện.
IOCs và Biện pháp Đối phó
IOCs và Thông tin Liên quan
Để nhận diện và đối phó với mối đe dọa từ NoName057(16), các tổ chức có thể tham khảo các thông tin và chỉ số nhận dạng sau:
- Tên nhóm: NoName057(16)
- Nền tảng tấn công chính: DDoSia (do tình nguyện viên điều hành)
- Công cụ Client được sử dụng: Go-based DDoSia client (kế nhiệm của Bobik botnet)
- Phương thức mã hóa giao tiếp C2: AES-GCM
- Điểm cuối (endpoint) giao tiếp C2: /client/login (đăng ký), /client/get_targets (lấy mục tiêu)
- Mục tiêu chính: Các thực thể chính phủ và khu vực công ở Châu Âu, đặc biệt là Ukraine.
Phản ứng của Pháp luật và Chiến lược Giảm thiểu Rủi ro
Để đáp trả các tấn công mạng này, chiến dịch Operation Eastwood, một sáng kiến thực thi pháp luật đa quốc gia diễn ra từ ngày 14-17 tháng 7 năm 2025, đã dẫn đến các vụ bắt giữ ở Pháp và Tây Ban Nha, bảy lệnh truy nã và 24 cuộc khám xét trên khắp Châu Âu. Mặc dù vậy, NoName057(16) đã bác bỏ tác động của chiến dịch này trên Telegram, tuyên bố sẽ tiếp tục kiên trì trong “cuộc chiến thông tin” của Nga.
Để giảm thiểu rủi ro từ các cuộc tấn công mạng như vậy, các tổ chức cần triển khai các lớp phòng thủ đa tầng, bao gồm các dịch vụ giảm thiểu DDoS, mạng phân phối nội dung (CDNs), tường lửa ứng dụng web (WAFs), chặn IP và giới hạn tốc độ (rate limiting). Đồng thời, việc xây dựng các khuôn khổ ứng phó sự cố mạnh mẽ, bao gồm kế hoạch duy trì hoạt động kinh doanh và quy trình leo thang ứng phó, là điều cần thiết. Nâng cao nhận thức tình huống thông qua việc giám sát các kênh Telegram của tác nhân đe dọa, các sự cố tương tự và các chỉ số địa chính trị là rất quan trọng để chủ động ngăn chặn các chiến dịch tấn công. Trong bối cảnh rộng lớn hơn của xung đột hỗn hợp, NoName057(16) là một ví dụ điển hình về hacktivism được khuyến khích bởi nhà nước, kết hợp DDoS với thông tin sai lệch và phá hoại dưới ngưỡng chiến tranh. Điều này đòi hỏi sự cảnh giác liên tục đối với bối cảnh an ninh mạng khi các quốc gia ngày càng ủy nhiệm các tác nhân phi nhà nước để đạt được lợi ích chiến lược.
