NoName057(16) - prorosyjski hacktywizm na skalę przemysłową
NoName057(16) - prorosyjska grupa hacktywistyczna, platforma DDoSia, 1500+ ataków na NATO. Taktyki, techniki i obrona.
7 marca 2022 roku, dwanaście dni po rosyjskiej inwazji na Ukrainę, na kanale Telegram pojawia się nowe konto. Żadnego logo, żadnego manifestu - tylko krótki wpis po rosyjsku i ciąg znaków w nazwie: NoName057(16). Pierwszego dnia publikują listę ukraińskich witryn rządowych, które przestały odpowiadać. Drugiego - dołączają polskie i litewskie serwisy publiczne. Trzeciego - czeskie portale informacyjne. Nikt w branży cyberbezpieczeństwa jeszcze nie traktuje ich poważnie. To błąd, który będzie kosztował setki organizacji w krajach NATO tysiące godzin przestojów.
W ciągu trzech lat ta grupa - bez stałej siedziby, bez formalnej hierarchii - przeprowadzi ponad 3700 ataków na unikalne cele w Europie i Ameryce Północnej, zbuduje crowdsourcingową platformę DDoS z 4000 ochotników i stanie się najbardziej aktywnym prorosyjskim kolektywem hacktywistycznym na świecie.
Geneza - wojna, która zrodziła armię wolontariuszy
Początek NoName057(16) jest nierozerwalnie związany z konfliktem rosyjsko-ukraińskim i jego wpływem na cyberprzestępczość. Gdy w lutym 2022 roku Rosja zaatakowała Ukrainę, cyberprzestrzeń stała się drugim frontem. Grupy takie jak IT Army of Ukraine atakowały rosyjskie serwisy. Po stronie rosyjskiej odpowiedzią były kolektywy hacktywistyczne - KillNet, Cyber Army of Russia Reborn (CARR) i właśnie NoName057(16).
Według ustaleń CISA i FBI opublikowanych w grudniu 2025 roku (advisory AA25-343A), Centrum Studiów i Monitoringu Sieci Młodzieżowej (CISM) - organizacja działająca z ramienia Kremla - stworzyło NoName057(16) jako projekt operacyjny. Wyżsi pracownicy i programiści CISM opracowali i rozwijali własnościowe narzędzie DDoS o nazwie DDoSia. To nie byli przypadkowi aktywiści przy klawiaturach. To był projekt z instytucjonalnym zapleczem.
Chronologia wydarzeń
| Data | Wydarzenie |
|---|---|
| 2022 (marzec) | NoName057(16) deklaruje powstanie na Telegramie; pierwsze ataki na witryny ukraińskie i polskie |
| 2022 (czerwiec) | Uruchomienie platformy DDoSia - początkowo prostego narzędzia w Pythonie |
| 2022 (jesień) | Ataki na serwisy rządowe Litwy, Czech i Bułgarii po deklaracjach wsparcia dla Ukrainy |
| 2023 (Q1) | DDoSia 2.0 - przepisanie narzędzia w Go, wersje na Windows, Linux i macOS |
| 2023 (czerwiec) | Sekoia.io publikuje szczegółową analizę infrastruktury DDoSia; ujawniony mechanizm płatności kryptowalutami |
| 2024 (październik) | Ataki na 13 samorządów w Wielkiej Brytanii; 6 z nich traci ciągłość usług online |
| 2025 (styczeń) | Ataki na włoskie ministerstwa i infrastrukturę krytyczną podczas wizyty prezydenta Zełenskiego w Rzymie |
| 2025 (lipiec) | Operacja Eastwood - Europol i Eurojust koordynują zatrzymania w 12 krajach |
| 2025 (grudzień) | CISA, FBI i NSA publikują advisory AA25-343A ostrzegające przed prorosyjskim hacktywizmem |
Anatomia DDoSia - crowdsourcing destrukcji
Jak działa platforma
DDoSia to nie klasyczny botnet. To model crowdsourcingowy - coś w rodzaju “Uber dla ataków DDoS”. Każdy sympatyk może dołączyć. Proces wygląda następująco:
- Rejestracja - wolontariusz kontaktuje się z botem Telegram i otrzymuje unikalny identyfikator
- Portfel kryptowalutowy - uczestnik zakłada portfel TON (za pośrednictwem bota @CryptoBot w Telegramie)
- Pobranie narzędzia - bot wysyła link do pobrania pliku wykonywalnego DDoSia (dostępne wersje na Windows, Linux i macOS) wraz z plikiem konfiguracyjnym zawierającym ID uczestnika
- Atak - narzędzie automatycznie pobiera listę celów z serwera C2 i generuje ruch HTTP/HTTPS
- Raportowanie - klient DDoSia okresowo wysyła statystyki do serwera (co ciekawe - nieszyfrowanym tekstem, co pozwoliło badaczom na analizę)
- Wynagrodzenie - uczestnicy generujący największy wolumen ruchu trafiają na tablice wyników i otrzymują wypłaty w kryptowalutach
Najaktywniejszy uczestnik mógł otrzymać nawet 80 000 rubli rosyjskich (ok. 3500 zł w 2023 roku). Europol szacuje, że platforma zgromadziła około 4000 aktywnych uczestników rekrutowanych przez prorosyjskie kanały, fora i grupy na komunikatorach.
Technika ataku - nie tylko brutalny flood
DDoSia nie ogranicza się do prostego zalewania serwera pakietami. Narzędzie celuje w konkretne endpointy HTTP i HTTPS, generując zapytania, które wymagają od serwera kosztownego przetwarzania - wyszukiwania w bazie danych, renderowania stron, obsługi sesji. To ataki warstwy 7 (aplikacyjnej), trudniejsze do odfiltrowania niż volumetryczne ataki na niższych warstwach.
Analiza Recorded Future (lipiec 2025) wykazała średni tempo operacyjne 50 unikalnych celów dziennie. Najczęściej atakowane sektory to administracja publiczna, transport i finanse - zawsze w krajach, które publicznie wyrażały wsparcie dla Ukrainy.
Powiązania z CARR i Z-Pentest
NoName057(16) nie działa w izolacji. Według ustaleń Departamentu Sprawiedliwości USA, grupa ma powiązania z Cyber Army of Russia Reborn (CARR) - kolektywem, za którym stoi jednostka wojskowa GRU nr 74455 (GTsST). We wrześniu 2024 roku powstała grupa Z-Pentest, złożona z członków zarówno CARR, jak i NoName057(16). O ile NoName057(16) specjalizuje się w atakach DDoS, Z-Pentest skupił się na penetracji systemów OT - wykorzystując niezabezpieczone połączenia VNC do urządzeń sterowania w sektorze wodno-kanalizacyjnym, energetycznym i rolno-spożywczym.
To przesunięcie od ataków odmowy dostępu do fizycznej manipulacji infrastrukturą krytyczną stanowi fundamentalną zmianę w zagrożeniu hacktywistycznym - o czym szerzej piszemy w artykule o atakach DoS na infrastrukturę przemysłową.
Operacja Eastwood - odpowiedź organów ścigania
Między 14 a 17 lipca 2025 roku Europol i Eurojust koordynowały jednoczesne działania w dwunastu krajach: Czechy, Francja, Finlandia, Niemcy, Włochy, Litwa, Polska, Hiszpania, Szwecja, Szwajcaria, Holandia i Stany Zjednoczone. Wsparcia udzieliły ENISA oraz organy z Belgii, Kanady, Estonii, Danii, Łotwy, Rumunii i Ukrainy.
Bilans operacji: przejęcie ponad 100 serwerów, dwa aresztowania (we Francji i Hiszpanii), siedem nakazów aresztowania, 24 przeszukania, 13 przesłuchanych osób i umieszczenie pięciu podejrzanych na liście najbardziej poszukiwanych UE.
Skutek? Tymczasowe zakłócenie operacji. Grupa natychmiast opublikowała oświadczenie na Telegramie, bagatelizując działania organów ścigania i deklarując kontynuację ataków. Analiza Imperva wykazała, że aktywność DDoSia spadła na kilka tygodni, po czym wróciła do poprzedniego poziomu z użyciem nowej infrastruktury.
Mapowanie MITRE ATT&CK
| Technika | ID | Opis w kontekście NoName057(16) |
|---|---|---|
| Network Denial of Service | T1498 | Główna taktyka - ataki DDoS warstwy aplikacyjnej (HTTP/HTTPS) na cele w krajach NATO |
| Application or System Exploitation | T1499 | Endpoint Denial of Service - celowanie w kosztowne endpointy (wyszukiwanie, formularze) |
| Phishing | T1566 | Rekrutacja wolontariuszy przez Telegram z użyciem socjotechniki i zachęt finansowych |
| Command and Control | T1071 | Serwery C2 dystrybuujące listy celów i zbierające statystyki ataków |
| Resource Hijacking | T1496 | Wykorzystanie zasobów obliczeniowych ochotników do generowania ruchu atakowego |
Jak się chronić
Ataki DDoS warstwy 7 - szczególnie realizowane przez tysiące rozproszonych klientów z rzeczywistymi adresami IP - stanowią wyzwanie, którego nie rozwiąże sam firewall.
TIP
Wielowarstwowa ochrona DDoS - wdróż rozwiązanie anty-DDoS działające zarówno na warstwie sieciowej (L3/L4), jak i aplikacyjnej (L7). Usługi CDN z funkcją WAF (np. Cloudflare, Akamai, Imperva) mogą absorbować ruch atakowy zanim dotrze do serwera.
TIP
Rate limiting i geoblocking - skonfiguruj limity zapytań per IP i rozważ ograniczenie ruchu z regionów, z których nie obsługujesz klientów. DDoSia generuje ruch głównie z adresów IP w Rosji, krajach WNP i z sieci VPN.
TIP
Monitoring i alarmowanie - ustal bazowe wzorce ruchu dla kluczowych endpointów. Nagły wzrost zapytań do konkretnych URL-i (wyszukiwarka, API, formularze) to typowy sygnał ataku DDoSia. Automatyczne powiadomienia pozwalają na szybką reakcję.
TIP
Plan ciągłości działania - przygotuj procedury na wypadek ataku DDoS: przełączenie na stronę statyczną, komunikacja z użytkownikami, eskalacja do dostawcy ochrony. Testuj ten plan regularnie.
TIP
Zabezpieczenie dostępu do OT - w kontekście powiązań NoName057(16) z Z-Pentest i atakami na infrastrukturę krytyczną: wyłącz bezpośredni dostęp VNC z internetu do urządzeń OT. Każdy zdalny dostęp powinien przechodzić przez VPN z wieloskładnikowym uwierzytelnianiem.
Źródła
- CISA Advisory AA25-343A: Pro-Russia Hacktivists Conduct Opportunistic Attacks Against US and Global Critical Infrastructure
- Europol - Global Operation Targets NoName057(16) Pro-Russian Cybercrime Network
- Recorded Future - Inside DDoSia: NoName057(16)‘s Pro-Russian DDoS Campaign Infrastructure
- Sekoia.io - NoName057(16)‘s DDoSia Project: 2024 Updates and Behavioural Shifts
- Imperva - Operation Eastwood: Measuring the Real Impact on NoName057(16)
- DOJ - Justice Department Announces Actions Against Russian Cyber Criminal Hacking Groups
- Picus Security - How NoName057(16) Uses DDoSia to Attack NATO Targets