Mr.Hamza: DDoS-угроза через Telegram и методы защиты

Mr.Hamza — хактивистская группа, появившаяся в конце 2024 года. По имеющимся данным, она имеет прочные связи с марокканским происхождением и действует как небольшая, но организованная команда. Наибольшую активность группа проявила в июне 2025 года на фоне ирано‑израильского конфликта, привлекая внимание массовыми распределёнными атаками типа DDoS и агрессивной пропагандой через Telegram.

Кто они и как организованы

Несмотря на сравнительно недавнее появление, Mr.Hamza демонстрирует устойчивую коммуникационную стратегию: регулярные объявления в Telegram, использование хэштегов для создания «импульса» вокруг целей и перекрёстное взаимодействие с другими хактивистскими группами. Такая динамика указывает не только на подготовленность, но и на желание сформировать долговременное присутствие в сети.

Тактика и операционные методы

Ключевые оперативные приёмы группы включают:

• объявление целей и времени атак в Telegram для мобилизации последователей;
• использование Telegram не только как канала координации, но и как площадки для демонстрации результатов;
• коммерческая деятельность: продажа инструментов атаки, включая botnet и stressors;
• перекрёстное продвижение контента с другими хактивистскими группами, что повышает охват и эффективность кампаний.

«Их Telegram-канал служит двойной цели: облегчает операции с помощью объявлений и свидетельств атак, а также функционирует как торговая площадка для продажи различных инструментов для атак».

Инфраструктура и используемые каналы

Telegram в деятельности Mr.Hamza играет центральную роль: от объявления целей до оперативной обратной связи. Помимо мессенджера, группа опирается на готовые коммерческие решения для организации трафика атаки — botnet и stressors — что позволяет быстро масштабировать DDoS‑кампании.

Рекомендации по защите и смягчению последствий

В ответ на угрозы со стороны подобных групп специалисты по кибербезопасности рекомендуют комплексный подход:

• Сотрудничество с ISP: внедрение экстренной фильтрации трафика и маршрутизация «черных дыр» (blackholing) для перехвата вредоносных потоков до достижения сети организации;
• CDN и облачные сервисы очистки: подключение к CDN или подписка на cloud scrubbing services для перераспределения и очистки трафика при больших объёмах;
• Защита уровня DNS: использование специализированных сервисов, способных фильтровать запросы и снижать риск DNS amplification и reflection‑атак;
• WAFs и правила фильтрации HTTP: развёртывание брандмауэров веб‑приложений (WAFs) с тонкой настройкой правил для выявления и блокировки bot‑like behavior;
• Локальные средства защиты: внедрение on‑premise устройств и ПО для защиты от DDoS как запасного уровня защиты на случай отказа внешних сервисов;
• Мониторинг и готовность: сценарии реагирования, тестирование процедур и регулярная связь с провайдерами — ключ к своевременному смягчению последствий.

Вывод

Mr.Hamza представляет заметную угрозу из‑за сочетания технологической доступности инструментов атаки и эффективного использования Telegram как канала координации и пропаганды. При этом набор рекомендованных мер защиты от DDoS остаётся стандартным и проверенным: совместная работа с ISP, использование CDN и cloud scrubbing, усиленная защита DNS и применение WAFs вместе с локальными средствами — всё это существенно снижает риск успешной кампании хактивистов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.