25 Nov 25
Después de unas cuantas semanas sin asomar por España, volvemos a saber de este grupo hacktivista prorruso, NoName057. Y es que cuando se anunciaron la semana pasada nuevas medidas de apoyo a Ucrania por parte de nuestro gobierno, enseguida intuimos que alguna represalia de este tipo podía acontecer.
Como es lógico, manejando más de 10.000 sitios web, muchos de ellos, Administraciones Públicas, es imposible no estar entre los objetivos de estos chicos y la verdad es que con el tiempo han ido evolucionando su forma de actuar. Han pasado de ataques de denegación de servicio bastante simples y de cierta volumetría a ataques un poco más sofisticados, combinando distintos métodos, User-Agents, URI y payloads.
Desde el equipo de Transparent Edge intentamos siempre estar a la última en lo que a ataques se refiere y, aunque no son en principio una amenaza para la estabilidad de nuestra plataforma, sí lo son para muchos de nuestros clientes, ya que sus técnicas ahora se centran en una volumetría menor pero más evasiva, intentando saltarse las medidas de seguridad y las capas intermedias como las CDN.
El tráfico viene muy distribuido desde varios países (39) , más de 35 ASN y un total de 43 User-Agents que nosotros hayamos detectado hasta la fecha. Esto no quiere decir que solo puedan atacar desde otros países o ASN, son los datos que hemos recopilado para tratar de conocer su nuevo patrón de ataque.
La información es interesante desde el punto de vista de conocer más sobre su modus operandi, pero como digo, no hay garantías de que solo usen estos ASN o estos países, ya que esta red está basado en un botnet en la que cualquier puede instalarse su software y poner su ordenador al servicio de la causa.
Sin embargo, un examen concienzudo de su ataque sí que permite hacer un patronaje de ciertas características que hace sus ataques fácilmente localizables. Mediante un sistema de aislamiento estadístico, hemos conseguido discriminar las peticiones que llegan a nuestros sistemas en dos categorías: peticiones lícitas, y peticiones de Noname. Este “fingerprinting” nos permite mitigar sus ataques mucho más rápido, antes de que puedan hacer daño a los sistemas atacados.
Jorge Román es cofundador y director general de Transparent Edge.
Jorge Román es un técnico de sistemas que con los años ha dado paso al CEO que llevaba dentro, o un CEO que con los años ha dado paso al técnico de sistemas que llevaba dentro. No lo tiene muy claro y lo piensa a menudo mientras friega el suelo de la oficina y sirve cafés. El resto del tiempo, dirige la primera CDN de origen español, cría a dos hijas y le sobra tiempo para leer sobre emprendimiento. Lo de dormir ya, lo deja para otra vida
Compartir:
