Mr.Hamza — хактивистская группа, появившаяся в конце 2024 года. По имеющимся данным, она имеет прочные связи с марокканским происхождением и действует как небольшая, но организованная команда. Наибольшую активность группа проявила в июне 2025 года на фоне ирано‑израильского конфликта, привлекая внимание массовыми распределёнными атаками типа DDoS и агрессивной пропагандой через Telegram.
Кто они и как организованы
Несмотря на сравнительно недавнее появление, Mr.Hamza демонстрирует устойчивую коммуникационную стратегию: регулярные объявления в Telegram, использование хэштегов для создания «импульса» вокруг целей и перекрёстное взаимодействие с другими хактивистскими группами. Такая динамика указывает не только на подготовленность, но и на желание сформировать долговременное присутствие в сети.
Тактика и операционные методы
Ключевые оперативные приёмы группы включают:
- объявление целей и времени атак в Telegram для мобилизации последователей;
- использование Telegram не только как канала координации, но и как площадки для демонстрации результатов;
- коммерческая деятельность: продажа инструментов атаки, включая botnet и stressors;
- перекрёстное продвижение контента с другими хактивистскими группами, что повышает охват и эффективность кампаний.
«Их Telegram-канал служит двойной цели: облегчает операции с помощью объявлений и свидетельств атак, а также функционирует как торговая площадка для продажи различных инструментов для атак».
Инфраструктура и используемые каналы
Telegram в деятельности Mr.Hamza играет центральную роль: от объявления целей до оперативной обратной связи. Помимо мессенджера, группа опирается на готовые коммерческие решения для организации трафика атаки — botnet и stressors — что позволяет быстро масштабировать DDoS‑кампании.
Рекомендации по защите и смягчению последствий
В ответ на угрозы со стороны подобных групп специалисты по кибербезопасности рекомендуют комплексный подход:
- Сотрудничество с ISP: внедрение экстренной фильтрации трафика и маршрутизация «черных дыр» (blackholing) для перехвата вредоносных потоков до достижения сети организации;
- CDN и облачные сервисы очистки: подключение к CDN или подписка на cloud scrubbing services для перераспределения и очистки трафика при больших объёмах;
- Защита уровня DNS: использование специализированных сервисов, способных фильтровать запросы и снижать риск DNS amplification и reflection‑атак;
- WAFs и правила фильтрации HTTP: развёртывание брандмауэров веб‑приложений (WAFs) с тонкой настройкой правил для выявления и блокировки bot‑like behavior;
- Локальные средства защиты: внедрение on‑premise устройств и ПО для защиты от DDoS как запасного уровня защиты на случай отказа внешних сервисов;
- Мониторинг и готовность: сценарии реагирования, тестирование процедур и регулярная связь с провайдерами — ключ к своевременному смягчению последствий.
Вывод
Mr.Hamza представляет заметную угрозу из‑за сочетания технологической доступности инструментов атаки и эффективного использования Telegram как канала координации и пропаганды. При этом набор рекомендованных мер защиты от DDoS остаётся стандартным и проверенным: совместная работа с ISP, использование CDN и cloud scrubbing, усиленная защита DNS и применение WAFs вместе с локальными средствами — всё это существенно снижает риск успешной кампании хактивистов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Mr.Hamza: DDoS-угроза через Telegram и методы защиты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.