Che cosa è Sledgehammer?
Operazione Sledgehammer è la traduzione inglese del turco Balyoz Harekâtı, che era il nome di un tentato colpo di stato militare effettuato in Turchia del 2003. E’ anche il nome di un recente Distributed Denial of Service (DDoS) che ha come obiettivo le organizzazioni con carattere politico che l’attaccante ritiene in linea con l’attuale governo della Turchia. Queste organizzazioni comprendono il German Christian Democratic Party (CDU), il People’s Democratic Party of Turkey, l’Armenian Genocide Archive e il Kurdistan Workers Party (PKK).
Nel nostro ultimo rapporto, chiamato Sledgehammer – Ddos Gamification, documentiamo gli strumenti ed i metodi di attacco utilizzati da una serie di hacker turchi. Il nome deriva dallo strumento DDoS che abbiamo visto pubblicizzato sui forum underground.
Attacchi DDoS – giochi per gli hacker
L’autore di Sledgehammer esegue un programma DDoS collaborazione chiamato Sat-ı Müdafaa o “Difesa della superficie”. Con uno strumento DDoS denominato Balyoz, agli hacker partecipanti viene chiesto di attaccare un insieme limitato di siti web politici ed è anche possibile suggerire nuovi siti da aggiungere alla lista dei bersagli.
Per ogni dieci minuti trascorsi ad attaccare uno di questi siti, gli utenti ricevono punti che possono essere convertiti in premi, come ad esempio una versione stand-alone dello strumento DDoS Sledgehammer e bot “click-fraud” utilizzati per generare entrate in siti pay to click (PTC). E’ presente anche un report di valutazione in tempo reale così che i partecipanti possono vedere il loro punteggio.
Qual è la motivazione dell’hacker?
I Forcepoint Security Labs prendono in considerazione diversi aspetti, tra i quali anche un’analisi degli intenti. Questo approccio è utile per poter effettuare analisi previsionali su probabili comportamenti futuri. L’attaccante attrae inizialmente sottoscrittori con la promessa di partecipare ad un sistema collaborativo di DDoS che prende di mira i siti web di natura politica. Le bot “Click-fraud” aggiungono un aspetto economico al sistema. Il tocco finale si è rivelato quando abbiamo scoperto una backdoor nel toolkit DDoS – questo significa che l’autore sta hackerando gli hacker. Le motivazioni sono molteplici, ma le implicazioni sono chiare.
Chi ha condotto questa ricerca?
Il Forcepoint’s Special Investigations team è un gruppo d’elite di ricercatori di minacce informatiche ed esperti di risposte agli incidenti, specializzati in minacce che possono vantare strumenti, tattiche e processi unici (TTP). L’anno scorso, tra i principali risultati del team Special Investigations abbiamo potuto approfondire la scoperta di una nuova campagna di botnet chiamata JAKU e un’analisi dettagliata delle debolezze di un ceppo persistente di ransomware noto come Locky.
Approfondimenti:
Il white paper Sledgehammer può essere scaricato al seguente link:
E’ presente anche un’infografica: