深入剖析 LameDuck:黑客组织 Anonymous Sudan 的攻击运作
威胁报告 - 2024 年 10 月 31 日
美国司法部 (DOJ) 最近公布了一份起诉书,概述了旨在瓦解 Anonymous Sudan 的努力。该组织在Cloudflare 系统中的代号为 LameDuck,因其政治驱动的黑客活动和参与大规模分布式拒绝服务(DDoS)攻击而臭名昭著。这项广泛行动旨在将该组织关键成员绳之以法,是提升互联网安全的重要步骤,并且是在国际执法机构和私营部门实体(包括 Cloudflare)协同努力下开展的。这凸显了所有利益相关者携手合作对抗当今最高级网络威胁的重要性,也展示了透明度对提升威胁情报质量和深度的价值。因此,Cloudflare 乐意分享我们在追踪和挫败 LameDuck 攻击行动过程中所获得的洞察,以帮助您加强对类似网络威胁的防御。
内容摘要
美国司法部最近公布了一份起诉书,显示两名苏丹籍兄弟被控在 2023 年 1 月至 2024 年 3 月期间策划了 LameDuck 的大规模 DDoS 攻击活动。通过执法部门和私营企业(包括Cloudflare )的协调努力,这份起诉书才能得以完成
LameDuck 开发并管理了名为 “Skynet Botnet” 的分布式云攻击工具,使他们能够在一年内发动超过 3.5 万次已证实的 DDoS 攻击,并通过将 DDoS 服务出售给可能超过 100 个客户来获利
该威胁行为者的活动展现了一种不同寻常的动机组合,其攻击目标覆盖全球范围内的多个行业和政府机构
Cloudflare 发现 LameDuck 攻击与地缘政治事件存在及时的关联性,其攻击目标均为高价值对象,符合其反西方意识形态
LameDuck 是谁?
LameDuck 是一个于 2023 年 1 月出现的网络威胁组织,自我定位为一个反西方、亲伊斯兰的政治驱动组织。该组织以对广泛的全球目标发动数以千计的 DDoS 攻击而闻名,攻击对象包括关键基础设施(如机场、医院、电信服务提供商和银行)、云服务提供商、医疗、学术界、媒体以及政府机构。
LameDuck 在社交媒体上放大针对知名组织的成功攻击,还提供 DDoS 租赁服务,因而声名狼藉。该组织的活动不仅包括成功实施的大规模 DDoS 攻击,还进行 DDoS 勒索或赎金 DDoS 攻击。该组织对经济利益的关注,使其声称的政治或宗教叙事受到质疑,因其大部分行动更接近以经济为驱动的网络犯罪。
复杂的动机
使其动机显得更复杂的是,LameDuck 的活动包含相差巨大的各种类型,对各种完全不同的目标发动高调攻击,自称支持一种奇特的意识形态组合,包括反以色列、亲俄罗斯和苏丹民族主义情绪。�然而,这些攻击很可能仅仅是为了提升声誉并获得负面声望。事实上,LameDuck 大量利用其社交媒体平台发布公开警告并传播其叙事,以吸引广泛关注。
归因
LameDuck 不同寻常的动机组合,他们的宗教言论以及与其他黑客组织的表面联盟(例如,与 Killnet、Turk Hack Team、SiegedSec 合作,以及参与 #OpIsreal 和 #OPAustralia 黑客活动),加剧了人们对其真实起源和目的的猜测。此前的归因理论认为,LameDuck 是一个俄罗斯国家支持的黑客组织,只是伪装成苏丹民族主义者。然而,根据美国司法部的起诉书揭示,策划 LameDuck 大量、高度破坏性 DDoS 攻击的幕后黑手实际上并非俄罗斯人,而是两名苏丹兄弟。
针对 LameDuck 的苏丹籍领导人的刑事指控并未排除俄罗斯参与该组织行动的可能性。很难忽视以下事实:共同的意识形态,信息中使用俄语并包含亲俄罗斯言论,攻击目标符合俄罗斯利益,以及与 Killnet 等亲俄罗斯的"黑客"组织之间的协调。
LameDuck 的攻击目标与受害者分析
LameDuck 经常针对高知名度、备受瞩目的目标发起攻击,以吸引更多关注并放大攻击的影响力。其攻击目标覆盖了广泛的地理区域,包括美国、澳大利亚,以及欧洲、中东、南亚和非洲的多个国家。LameDuck 的目标也涵盖了众多领域和行业垂直领域,其中一些更引人注目的目标属于如下领域:
政府和外交政策
关键基础设施
遵循执法要求规范
新闻和媒体
科技行业
此列表仅代表目标行业的一部分,凸显了 LameDuck 行动所波及的行业范围之广。
LameDuck 选择目标的潜在原因包括:
目标组织或实体与 LameDuck 的意识形态信念对立
LameDuck 之所以选择特定的基础设施作为目标,可能是因为它有可能影响到更大的用户群,从而放大破坏性影响并提升组织的恶名
由于存在漏洞和/或安全措施不够严密,对特定基础设施成功发动 DDoS 攻击更容易
政治驱动的目标选择
Cloudflare 观察到,大量 LameDuck 攻击目标与该组织自称的亲穆斯林苏丹“黑客主义”组织身份相符。特别是,苏丹的冲突及其政治影响似乎驱动了部分攻击目标的选择。例如,针对肯尼亚组织的攻击可能源于苏丹政府与肯��尼亚日益紧张的关系,这一系列事件最终导致苏丹在 1 月份召回其驻肯尼亚大使。出于政治动机的攻击瞄准了Microsoft 和 OpenAI 等私营公司,LameDuck 宣布,只要美国政府继续“干预苏丹内政”,他们将无差别地攻击美国公司。除了冲突,LameDuck 还执行了一系列行动,显示对苏丹民族主义情绪的支持,例如针对埃及互联网服务提供商的攻击。他们声称此举旨在“向埃及政府发出信息,即那些在社交媒体上侮辱苏丹人民的人应被追究责任,就像苏丹对侮辱埃及人的行为所做的那样。”
基于 LameDuck 的亲穆斯林立场,其攻击目标还包括被认为存在伊斯兰恐惧症的组织例如,针对瑞典组织的大量攻击被声称是对《古兰经》焚烧事件的“惩罚”。此外,在加拿大和德国发现对穆斯林的冒犯后,LameDuck 宣布将这些国家加入其目标列表。
在 2023 年 10 月 7 日哈马斯发起攻击及随后以色列采取军事行动后,LameDuck 也更加专注于攻击亲以色列目标。Cloudflare 观察到针对以色列组织的广泛网络攻击,覆盖多个行业。例如,2023 年 10 月针对美国和国际主流新闻媒体的攻击,指责后者进行“虚假宣传”。Cloudflare不仅观察到并缓解了针对各类组织的攻击,而且其本身也成为了攻击目标。去年 11 月,LameDuck “正式向 Cloudflare 宣战”,声称发起攻击的理由在于 Cloudflare 是美国公司,且其服务用于保护以色列网站。
此外, Cloudflare 观察到 LameDuck 对乌克兰发动大量攻击,尤其是国家机构和波罗的海地区的关键交通基础设施。由于苏丹行为者在乌克兰并不活跃,这些活动引发了有关俄罗斯参与 LameDuck 行动的猜测。然而,苏丹的地缘政治形势发展与俄罗斯针对乌克兰的军事行动不无关系,因为俄罗斯和乌克兰的军队都在苏丹进行活动。更不用提的是,在去年夏季,俄罗斯转而支持苏丹武装部队,并因向苏丹提供武器以换取港口使用权而受到制裁。尽管关于该团体起源的早期误解已被澄清,且对其复杂动机的理解也有所提高,但其差异化的目标和似乎与亲俄情绪相一致的行动仍然引发了关于可能隶属关系的疑问。
网络犯罪目标选择
除了政治驱动的目标外, 该组织还从事以盈利为目的的网络犯罪,包括 DDoS 租赁服务。虽然将意识形态驱动的目标选择与 LameDuck 行为者关联较为容易,但将出于经济利益动机的行为进行归因往往较为复杂。该团体提供的 DDoS 攻击租赁服务,使得其攻击行为与其客户发动的攻击行为难以区分。通过美国司法部的起诉书,我们了解到 LameDuck 有 100 多个用户使用其 DDoS 能力,针对全球许多受害者进行攻击。
LameDuck 还以进行 DDoS 勒索而闻名,其通过要求受害者支付费用以停止攻击来获取利益。与其他 LameDuck 行动一样,这些勒索企图针对广泛的目标。2023 年 7 月,该团伙攻击了同人小说网站 Archive of our own,并索要价值 3 万美元的比特币作为撤回攻击的条件。LameDuck 瞄准了一个更大的目标,于今年 5 月声称对巴林互联网服务提供商 Zain 发起攻击,并公开声明:“如果您希望我们停止攻击,请联系 InfraShutdown_bot,我们可以达成协议。”当然,这并非他们唯一的重要攻击目标。该组织向 Microsoft 发起了一系列 DDoS 攻击,并在不久后索要 100 万美元,以停止行动并不再发动进一步的攻击。另一个高调目标是斯堪的纳维亚航空,后者遭受了一系列攻击,导致多项在线服务中断。LameDuck 最初对该航空公司勒索 3,500 美元,随后迅速膨胀到惊人的 300 万美元。无论是否成功,对于一个自称黑客主义者的团伙而言,这些勒索要求并不寻常,进一步凸显了 LameDuck 使用不同策略以及寻求关注的明显需求。
LameDuck 的策略和技术
在运作的第一年,LameDuck 开发并使用了一个强大的 DDoS 工具,进行了超过 3.5 万次已确认的 DDoS 攻击。该工具有多个名字,包括 “Godzilla Botnet”、“Skynet Botnet” 和 “InfraShutdown” 等。尽管其很多名称表明它是僵尸网络,但 LameDuck 所利用的 DDoS 工具实际上是一种分布式云攻击工具(DCAT) ,包括三个主要组件:
命令与控制 (C2) 服务器
基于云的服务器,用于接收 C2 服务器的指令并将其转发至开放代理解析器
由无关联第三方运行的开放代理解析器,将 DDoS 攻击流量传输到 LameDuck 目标
LameDuck 利用该攻击基础设施,以大量恶意流量使目标组织的网站和/或 Web 基础设施陷入瘫痪。若未部署适当的防护措施,这类流量可能会严重影响网站响应合法请求的能力,甚至完全阻碍其正常运行,导致实际用户无法访问。自 2023 年初出��现以来,LameDuck 运用了各种策略和技术,以利用其 DCAT 能力。已识别的几种模式包括:
通过 HTTP 洪水攻击发起第 7 层攻击。我们检测并缓解的洪水攻击是一种 HTTP GET 攻击,攻击者从数千个唯一 IP 地址向目标服务器发送数以千计的 HTTP GET 请求。目标服务器被大量入站请求和响应淹没,最终导致对合法流量拒绝服务。LameDuck 还利用了多手段攻击(例如,结合了基于 TCP 的直接路径和各种 UDP 反射或放大手段)。
使用付费基础设施。与许多其他攻击团伙不同,研究表明 LameDuck 未使用由被入侵的个人设备和 IoT 设备组成的僵尸网络来发起攻击。相反,该团伙使用一组租用服务器来发起攻击,这样可产生的流量超过个人设备。事实上,LameDuck 拥有租用这些服务器的财力,这也是一些研究人员认为该组织并非他们自称的基层黑客活动人士的另一个原因。
流量生成与匿名性 。LameDuck 利用公共云服务器基础设施生成流量,并通过免费、开放的代理基础设施对攻击源进行随机化和隐藏。证据显示,在某些情况下,该组织还使用付费代理来掩盖自己的身份。
高成本端点 。在某些情况下,LameDuck 攻击目标基础设施��的高成本端点(即负责资源密集型处理的端点)。攻击这些端点更具破坏性,远远超过攻击数十个计算强度较低的低成本端点。
高需求时段对于某些目标,LameDuck 很谨慎地选择与目标的高需求时段对应的攻击时间。 例如,在消费高峰期发动攻击,旨在最大程度造成破坏。
闪电战方法 。LameDuck 以同时对目标基础设施的多个接口发起一系列集中攻击而闻名。
子域压倒 。与上述攻击技术类似的概念,LameDuck 用于同时攻击受害域的多个子域。
低 RPS 。这种攻击的每秒请求数(RPS)相对较低,试图混入合法流量并逃避检测。
通过公告和宣传发出威胁。 LameDuck 经常在实际攻击之前对目标发出威胁,有时发出的威胁并未付诸行动。这样做的原因可能包括:为他们的意识形态动机赢得关注,以及在潜在目标中制造不确定性。
建议
Cloudflare 已成功为众多客户防御了 LameDuck 促�成的攻击,无论是该组织直接发起的攻击,还是通过其 DDoS 租赁攻击服务进行的攻击。值得注意的是,LameDuck 的高级 DDoS 攻击能力使其能够对未部署适当防护措施的网络和服务造成严重影响。尽管如此,该组织仅是众多成功实施大规模 DDoS 攻击的众多团伙之一,而且这类攻击的规模和复杂性正在持续增长。通过遵循一套标准的 DDoS 缓解最佳实践,企业和组织可以保护自己免受 LameDuck 发起的攻击以及类似的高级威胁。
使用始终在线的专用 DDoS 缓解。DDoS 缓解服务利用大带宽容量、对网络流量的持续分析以及可自定义的策略更改来吸收 DDoS 流量,防止这些流量到达目标基础设施。组织应确保为应用程序层流量、第 3 层流量和 DNS 提供 DDoS 防护
使用 Web 应用程序防火墙 (WAF)。WAF 使用可自定义的策略来过滤、检查和阻止 Web 应用程序与互联网之间的恶意 HTTP 流量
配置速率限制。速率限制可在特定时间段内限制网络流量,从根本上防止 Web 服务器被来自特定 IP 地址的请求弄瘫痪
在 CDN 上缓存内容。缓存可以存储所请求内容的副本,并代替源服务器提供它们。在内容交付网络 (CDN) 上缓存资源可减少 DDoS 攻击对组织的服务器造成的压力
建立应对攻击的内部流程。包括了解现有的安全保护措施和功能,识别不必要的攻击面,分析日志以找出攻击模式,以及实施适当的流程,确定在攻击开始时应该调查哪里和执行哪些操作
关于 Cloudforce One
Cloudflare 的使命是帮助构建更好的互��联网。建设更好的互联网离不开正义力量,以检测、阻止和削弱试图侵蚀信任、为个人或政治利益而操纵互联网的威胁行为者。Cloudforce One 为此而生 ,这是 Cloudflare 的专职团队,由世界知名的威胁研究人员组成,其任务是发布威胁情报,以便为安全团队提供必要的背景信息,从而快速而自信地做出决策。我们以无以伦比的独特洞察来识别和防御攻击。
我们拥有的可见性来源于 Cloudflare 的全球网络——世界上最大网络之一,覆盖约 20% 互联网。我们的服务已被遍布互联网每个角落的数百万用户所采用,使我们能够针对全球网络安全事件获得无与伦比的洞察——包括互联网上最具代表性的攻击。这一有利地位使 Cloudforce One 能够执行实时侦察,从攻击源头阻断攻击,并将情报转化为战术成功。
