Исследователи Forcepoint Security Labs опубликовали тридцатистраничный отчет (PDF) об изучении странной DDoS-платформы Sath-ı Müdafaa, операторами которой выступает неназванная группа турецких хакеров. Данный ресурс широко рекламируется на местных хакерских форумах (Turkhackteam и Root Developer). Его авторы обещают всем, кто поучаствует в DDoS-атаках, начисление специальных баллов (один балл за 10 минут атаки), которые затем можно будет потратить на различные клик-фрод инструменты.
Участники Sath-ı Müdafaa должны атаковать исключительно ресурсы из представленного на сайте списка. В данный список входят сайты различных курдских СМИ (радио, телеканалы и так далее), ресурсы Рабочей партии Курдистана, вооруженное крыло Рабочей партии Курдистана — Народные силы обороны, сайты Христианско-демократического союза Германии, ряд израильских ресурсов, а также сайт, посвященный геноциду армян.
Для осуществления DDoS-атак пользователям предоставляется инструмент под названием Balyoz («кувалда» в переводе на русский). Инструмент представлен в двух версиях: одна предназначена для тех, кто предпочитает GUI, а другая для тех, кто привык работать с командной строкой. «Кувалда» тоже ограничивает атакующих в действиях, позволяя им DDoS’ить только заданные сайты. Также исследователи отмечают, что Balyoz неплохо защищен, в частности, он не запустится на виртуальной машине, работает через Tor и требует ввести логин и пароль, уникальные для каждого пользователя.
Если операторы DDoS-платформы замечают, что один из пользователей Balyoz пытается жульничать (взломать инструмент или набрать больше баллов), они могут отдать Balyoz команду на загрузку и установку бэкдора на машину провинившегося.
Заработанные на DDoS-атаках баллы пользователи могут обменять на различные клик-фрод инструменты. Судя по видео, найденному на YouTube специалистами, в распоряжении операторов платформы имеются три различных инструмента, которые позволяют автоматически скликивать рекламу и пользоваться сервисами вроде Ojooo, PTCFarm и Neobux PTC, которые платят за каждый клик. Кроме того, особенно успешные пользователи имеют возможность получить специальную версию Balyoz, не имеющую каких-либо ограничений.
Специалисты Forcepoint Security Labs утверждают, что им удалось идентифицировать одного из операторов платформы: в сети он известен как Mehmet, и именно от его имени на YouTube были опубликованы подробные инструкции по использованию Balyoz.
