Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

DDoSia: Come la Russia recluta cyber-mercenari su Telegram e li paga in criptovalute

Simone D'Agostino : 17 Febbraio 2025 07:31

Negli ultimi anni, il conflitto tra Russia e i suoi oppositori non si è limitato al campo di battaglia tradizionale, ma ha coinvolto sempre di più il cyberspazio. Uno dei gruppi più attivi in questa guerra informatica è NoName057(16), noto per le sue operazioni di attacco DDoS mirate a siti governativi e infrastrutture critiche di paesi ritenuti ostili alla Russia. Tra le loro iniziative, spicca DDoSia Project, una piattaforma che mobilita volontari  per condurre attacchi DDoS su larga scala.

Il progetto, tuttavia, non è un semplice network di volontari: segue una struttura gerarchica, reclutando e pagando cyber-mercenari di qualsiasi livello di esperienza, senza alcuna selezione basata su competenze o background tecnico. Chiunque può partecipare, indipendentemente dalla conoscenza in ambito informatico, il che porta a un’adesione massiva di utenti inesperti che eseguono gli attacchi senza comprendere appieno i rischi legali e operativi. Questa politica di reclutamento indiscriminato trasforma DDoSia in un vero e proprio esercito digitale eterogeneo, alimentato da individui spesso ignari delle loro azioni ma che amplifica l’impatto degli attacchi.

Perché proprio queste lingue?

Un elemento interessante è la scelta delle lingue supportate dal progetto: russo, inglese, spagnolo e, sorprendentemente, italiano. Questo potrebbe indicare un’attenzione specifica a determinati paesi e comunità, suggerendo che l’Italia sia considerata un obiettivo strategico con interessi geopolitici o che vi sia un numero significativo di collaboratori italiani al suo interno.

Come funziona DDoSia Project

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

DDoSia è un progetto di crowdsourced DDoS, in cui chiunque può partecipare agli attacchi semplicemente registrandosi tramite Telegram e scaricando un client dedicato. Il processo è strutturato in modo da garantire un’adesione semplice ma efficace:

  • Registrazione tramite il bot Telegram @Not_Realy_DDoSia_Bot con il comando /start.
  • Ottenimento del Client ID, necessario per avviare gli attacchi.
  • Download del client per il proprio sistema operativo.
  • Configurazione e avvio del client, con il consiglio di disabilitare l’antivirus per evitare il blocco del software.
  • Utilizzo di VPN per nascondere la propria identità e aumentare l’efficacia degli attacchi (non richiesto in Russia).

Distribuzione e Architettura del Client

Il client DDoSia è uno strumento che permette agli utenti di partecipare agli attacchi in modo completamente automatizzato. Il software si connette al server di comando e controllo (C2) del gruppo NoName057(16), ricevendo in tempo reale i target da colpire e gestendo il traffico dannoso in maniera distribuita.

I client sono distribuiti direttamente nei gruppi Telegram  e sono disponibili, fra i tanti,  per: 

  • Windows: `d_win_x64.exe`, `d_win_x32.exe`, `d_win_arm64.exe` 
  • – MacOS: `d_mac_x64`, `d_mac_arm64` 
  • – Linux: `d_lin_x64`, `d_lin_x32`, `d_lin_arm
  • – Android: su dispositivi mobili con architettura ARM

Vettori di attacco supportati

  • Flood HTTP(S): saturazione di server web con richieste GET/POST. 
  • UDP Flood: attacchi volumetrici contro server di gioco, VoIP e DNS. 
  • TCP SYN Flood: saturazione delle connessioni TCP per esaurire le risorse dei target

Il software consente ai partecipanti di inviare richieste massive a determinati obiettivi, sovraccaricandoli fino a renderli inutilizzabili. L’interfaccia è progettata per essere estremamente semplice, rendendo possibile l’uso anche a soggetti privi di competenze tecniche avanzate. Tuttavia, i partecipanti non hanno alcuna autonomia sulle decisioni: gli attacchi vengono pianificati e diretti dall’alto, e i volontari si limitano ad eseguire le istruzioni ricevute

Il sistema di ricompense, la moneta dCoin e la connessione con TON

DDoSia non si basa solo sul volontariato, ma introduce un sistema di incentivi sotto forma di una valuta elettronica chiamata dCoin. Gli utenti vengono ricompensati in base alla loro attività, e i dCoin possono essere convertiti esclusivamente in TON (Toncoin), una criptovaluta che può essere trasferita su portafogli digitali.

L’uso esclusivo di TON come valuta di conversione non è casuale: Toncoin è noto per le sue funzionalità di privacy avanzate, che lo rendono difficile da tracciare rispetto ad altre criptovalute. Questo sistema garantisce maggiore anonimato ai partecipanti e complica gli sforzi di tracciamento delle transazioni da parte delle autorità.

Il tasso di cambio attuale è di 1 dCoin = 2 rubli, con la possibilità di scambiare questi token tramite il bot Telegram @CryptoBot. Questo modello economico ha reso DDoSia particolarmente attraente per molti partecipanti, che vedono l’attività non solo come un’azione ideologica ma anche come una potenziale fonte di guadagno.

Origine delle connessioni e analisi OSInt

L’analisi delle connessioni mostra che DDoSia ha nodi attivi principalmente in Russia ed Europa dell’Est, con una presenza significativa anche in Africa occidentale e centrale. Questo suggerisce l’uso di botnet, server proxy e infrastrutture compromesse per occultare il traffico. Questi dati sono confermati tramite un modello di OSInt basato su AI, che ha analizzato i canali Telegram di Noname057 (16). Il sistema,  utilizzando  Telethon per lo scarping, ha permesso di monitorare parole chiave sospette, raccogliere metadati e tracciare alcune delle connessioni attive, evidenziando un’operatività distribuita su più regioni per eludere il tracciamento

Chi finanzia?

La connessione tra DDoSia e il governo russo non è mai stata esplicitamente confermata, ma diverse analisi suggeriscono una collaborazione indiretta attraverso strumenti di propaganda e finanziamenti nascosti. Altra ipotesi che confermerebbe questa connessione è data dal fatto che dalla Russia l’uso di VPN non è necessario per partecipare al programma, suggerendo una certa protezione governativa implicita per chi opera da quel territorio..Va aggiunto che la gestione delle transazioni tramite Telegram suggerisce una possibile connessione con entità più strutturate, forse riconducibili a reti di supporto governative o paramilitari. Accertamenti OSInt, oltretutto, riconducono alcuni degli utenti più attivi all’interno di chat di natura militare

Implicazioni legali e rischi per i partecipanti

Partecipare a DDoSia non è privo di rischi. Sebbene l’uso di VPN possa fornire un livello di protezione, le autorità di diversi paesi stanno aumentando i controlli per identificare e perseguire gli autori di attacchi DDoS. In molti stati, tali azioni sono considerate reati informatici punibili con pesanti sanzioni.

Inoltre, il client stesso potrebbe contenere backdoor o malware utilizzabili dai gestori del progetto per ottenere il controllo sui dispositivi degli utenti. Partecipare a queste operazioni espone quindi i volontari non solo a rischi legali, ma anche a possibili compromissioni della propria sicurezza informatica.

Va precisato che gli stessi bot di Telegram utilizzati per gestire il progetto rappresentano un ulteriore rischio per la sicurezza dei partecipanti. Essi possono infatti esplorare dati personali e attività degli utenti, raccogliendo informazioni che potrebbero essere sfruttate in altri contesti, inclusa la sorveglianza o il monitoraggio da parte delle autorità o degli stessi organizzatori del progetto

La moderazione di Telegram

La piattaforma, dopo l’arresto in Francia di Pavel Durov, ha iniziato a chiudere i canali e i gruppi legati a DDoSia, anche se non è chiaro se ciò avvenga per una reale volontà di contrasto o per semplice rispetto delle segnalazioni ricevute. Tuttavia i gruppi vengono riaperti con nuove identità in tempi molto brevi, permettendo così al progetto di continuare le proprie attività senza interruzioni significative

Conclusioni

DDoSia Project rappresenta un chiaro esempio di come la guerra informatica si stia evolvendo, trasformando utenti comuni in armi digitali. La sua struttura gerarchica e il reclutamento di cyber-mercenari indicano un livello di organizzazione più alto rispetto ad altri attacchi DDoS volontari.

Il sistema di incentivi, unito alla facilità di utilizzo, lo rende un pericolo concreto per numerose infrastrutture. Tuttavia, i rischi per i partecipanti e le contromisure disponibili suggeriscono che questa tattica, per quanto efficace nel breve termine, potrebbe incontrare crescenti ostacoli con l’evoluzione delle strategie difensive.

Nel complesso, DDoSia evidenzia la necessità per le aziende e i governi di investire in cybersecurity non solo per difendersi dagli attacchi attuali, ma per anticipare e contrastare minacce sempre più sofisticate nel futuro del cyber warfare.

La guerra digitale è in corso, e tutti abbiamo il dovere di esserne consapevoli

Simone D'agostino
Nato a Roma, con oltre 30 anni in Polizia di Stato, oggi è Sostituto Commissario alla SOSC Polizia Postale Udine. Esperto in indagini web e dark web, è appassionato di OSInt, che ha insegnato alla Scuola Allievi Agenti di Trieste. Ha conseguito un Master in Intelligence & ICT all'Università di Udine (110 e lode), sviluppando quattro modelli IA per contrastare le frodi su fondi UE. È impegnato nella formazione per elevare la sicurezza cibernetica.

Lista degli articoli

Articoli in evidenza

Pornhub, Redtube e YouPorn si ritirano dalla Francia per colpa della legge sulla verifica dell’età

Secondo diverse indiscrezioni, il proprietario di Pornhub, Redtube e YouPorn ha intenzione di interrompere il servizio agli utenti francesi già mercoledì pomeriggio per protestare contro le ...

Gli hacktivisti filorussi di NoName057(16), rivendicano nuovi attacchi alle infrastrutture italiane

Gli hacker di NoName057(16) riavviano le loro attività ostili contro diversi obiettivi italiani, attraverso attacchi di Distributed Denial-of-Service (DDoS). NoName057(16) &#x...

Chrome sotto attacco! Scoperta una pericolosa vulnerabilità zero-day attivamente sfruttata

Google ha pubblicato un aggiornamento di sicurezza urgente per il browser Chrome, a seguito della conferma che una pericolosa vulnerabilità zero-day è attualmente oggetto di attacchi attivi ...

Quando gli hacker entrano dalla porta di servizio! PuTTY e SSH abusati per accedere alle reti

Una campagna malware altamente sofisticata sta prendendo di mira client SSH legittimi, tra cui la nota applicazione PuTTY e l’implementazione OpenSSH integrata nei sistemi Windows, con l’...

RHC effettua una BlackView con NOVA ransomware: “Aspettatevi attacchi pericolosi”

Il giorno 10 Maggio 2025 il comune di Pisa ha subito un attacco Ransomware all’interno dei loro sistemi informatici. Il giorno dopo Nova ha rivendicato l’attacco ed il 21 dello stesso me...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006