LameDuckの内側:アノニマス・スーダンの脅威活動を分析
脅威レポート - 2024年10月31日
米国司法省(DOJ)は最近、政治的動機によるハクティビズムと分散サービス妨害(DDoS)攻撃への重大な関与で知られる、CloudflareがLameDuckとして追跡した著名なグループであるアノニマス・スーダンを排除するための取り組みを概説した起訴内容を公開しました。同団体の主要メンバーを正当に処罰するためのこの広範な取り組みは、インターネットセキュリティを向上させるための素晴らしい一歩であり、国際的法執行機関とCloudflareを含む民間セクター間の連携により実現したものです。これは、今日の最も高度なサイバー脅威に対抗する上で、すべてのステークホルダーがパートナーシップを組むことの重要性を強調するとともに、透明性が脅威インテリジェンスを向上させることの価値を実証するものです。そこで、Cloudflareでは、LameDuckの運営を追跡し、中断させた経験から得た洞察を共有し、お客様の同様の脅威に対する防御の強化に役立てたいと思っています。
概要
米国司法省は最近、2023年1月から2024年3月にかけてLameDuckの大規模なDDoS攻撃を組織した責任者である2人のスーダン人兄弟に対する起訴状を公開し、その容疑を明らかにしました。起訴は、法執行機関と民間�業界(Cloudflareを含む)全体の協調的な取り組みによって実現しました
LameDuckは、分散型クラウド攻撃ツールである「Skynet Botnet」を開発・管理して、1年間で35,000件以上の確認されたDDoS攻撃を実行できるようにしました。また、DDoSサービスを100人以上の顧客に販売することで利益を得ています。
この脅威アクターのオペレーションは、世界中の幅広い業界や政府を対象とする動機の異例の組み合わせを明らかにしました。
Cloudflareは、地政学的な出来事と反欧米イデオロギーに沿って行われたLameDuckの著名な標的への攻撃との間に時間的な相関関係があることを見出しました。
LameDuckとは?
LameDuckは2023年1月に出現した脅威グループであり、自らを「反欧米」「イスラム派」の政治的動機を持つ集団として名乗るようになりました。同グループは、重要なインフラストラクチャ(空港、病院、電気通信プロバイダー、銀行)、クラウドプロバイダー、医療機関、学術機関、メディア、政府機関など、広範囲にわたるグローバルな標的に対し、何千ものDDoS攻撃を仕掛けることで知られています。
LameDuckは、広く認知された組織に対する攻撃の��成功をソーシャルメディア経由で増幅し、DDoS-for-hire(DDoS請負)サービスも提供して有名になりました。彼らは大規模なDDoS攻撃を成功させただけでなく、DDoS恐喝やランサムDDoSの攻撃も行っています。その運営の多くは金銭的利益を動機とするサイバー犯罪に酷似しており、金銭的利益を得ることに注力する同団体が政治的または宗教的ストーリーを強調していることには疑問が差しはさまれています。
混在する動機
このアクターの動機をさらに複雑なものにしているのは、LameDuckの活動が異種混合の行動であり、反イスラエル、親ロシア、スーダンという奇妙な組み合わせの国家主義感情への支持を自称して、注目度の高い攻撃が多種多様な標的に対して行われたことです。しかし、これらの攻撃が単に、評判を上げて悪名を馳せる必要性から生じたとも考えられます。実際、LameDuckは広く注目を集めるために、公に警告を発し、ナラティブを拡散するために自社のソーシャルメディアでの存在感を大いに活用しました。
属性
LameDuckの動機が異例な組み合わせであることに加えて、宗教的なレトリックや他のハクティビストグループとの明らかな提携関係(Killnet、Türk Hack Team、SiegedSecとの協力、#OpIsrealや#OPAustraliaハクティビストキャンペーンへの参加)から、彼らの真の出自や目的について憶測を呼びました。属性に関するこれまでの説では、LameDuckはスーダン人の国家主義を装ったロシア国家が支援するグループであるとされていました。しかし、司法省の起訴状が公開されたことで、LameDuckの大規模で非常に破壊的なDDoS攻撃を組織していた人物が、実際にはロシア人ではなく、スーダン人の2人の兄弟であったことが明らかになりました。
スーダンを拠点とするLameDuckのリーダーに対する刑事告発は、同グループの活動に対するロシアの関与の可能性を必ずしも否定するものではありません。彼らの共有するイデオロギー、ロシア語の使用、LameDuckのメッセージングに親ロシア的なレトリックが含まれていることなどロシアの利益に合致している要素、およびKillnetのような親ロシア派「ハクティビスト」集団との連携を無視することは困難です。
LameDuckの標的と被害者
LameDuckは、注目を集め、攻撃のインパクトを増幅するために、著名で注目度の高い標的に対して作戦を仕掛けることがよくありました。攻撃の標的となったのは、米国、オーストラリア、欧州の国々、中東、南アジア、アフリカなど幅広い地域でした。また、LameDuckの標的はさまざまなセクターや業界にも広がっており、特に注目すべき標的には以下があります。
政府および外交政策
重要インフラ
法執行機関への対応
ニュース・メディア
テクノロジー業界
このリストは、標的となる業界の一部に過ぎず、LameDuckの活動の影響を受けるセクターの範囲が幅広いことを強調しています。
LameDuckの標的になる理由として以下が考えられます。
標的となった組織または団体がLameDuckのイデオロギー的信念に反対していた
LameDuckは、より大規模なユーザーベースに影響を与えて、混乱を増幅し、同グループの悪名をさらに高めようとして、特定のインフラストラクチャを標的として選択した可能性がある
特定のインフラストラクチャでは、脆弱性や不十分なセキュリティ対策のため、DDoS攻撃を成功させることが容易であった
政治的動機により標的とされた
Cloudflareは、LameDuckを標的とする攻撃のかなりの部分が、イスラム教徒のスーダン人の「ハクティビスト」グループであると自称するアイデンテ��ィティと一致していることを観察しました。特に、スーダンの紛争とその政治的影響は、一連の標的に関係しているようです。例えば、ケニアの組織に対する攻撃は、スーダン政府とケニアの関係がますます悪化して、スーダンが1月に駐ケニアの大使を召還するまでになったことで説明できます。政治的動機による攻撃は、MicrosoftやOpenAIのような民間企業を標的にしました。LameDuckは、米国政府が「スーダンの国内情勢に介入」し続ける限り、米国企業を無差別に標的にする計画を発表しました。紛争とは別に、LameDuckは、エジプトのISPを標的にするなど、スーダンの国家主義感情の支持を示す行動をとりました。これは、「ソーシャルメディアでスーダン人を誹謗中傷する人物は、我々がスーダンでエジプト人を誹謗中傷する者に対して行っているのと同様に、その責任を追及すべきであるというメッセージをエジプト政府に送る」ものであったと主張しています。
LameDuckはイスラム教徒の立場として、反イスラム的な組織を標的にすることにもなりました。たとえば、スウェーデンの組織に対する高度��な標的化は、コーランを焼いた懲罰だと主張しました。また、カナダとドイツのイスラム教徒に対する侮辱を受けて、LameDuckはこれらの国を標的リストに追加することを発表しました。
LameDuckは、2023年10月7日のハマスによる攻撃とそれに続くイスラエルの軍事行動を受けて、親イスラエル派の標的に特に焦点を当てました。Cloudflareは、さまざまなセクターにおけるイスラエル組織に対する広範な活動を観測し、2023年10月の攻撃では、たとえば、米国および世界の主要ニュースサイトに対し「虚偽のプロパガンダ」を行っていると非難しました。Cloudflareは、さまざまな組織に対する攻撃を観察し軽減しただけでなく、自らが標的となりました。昨年11月、LameDuckはCloudflareに対し「正式に宣戦布告」しました。攻撃は当社がアメリカの企業であること、そしてイスラエルのWebサイトを保護するために当社のサービスが使用されていることが理由であると述べました。
他の例では、CloudflareはLameDuckがウクライナ、特に国家機関やバルト海諸国の重要交通インフラを標的にしていることを観測しました。スーダン人のアクターはウクライナで活発に活動していないため、これらの活動は、LameDuckの運営にロシアが関与しているのではとの憶測を生み出しました。しかし、ロシアとウクライナの両軍がスーダンで活動しており、スーダンでの地政学的展開は、ロシアのウクライナ侵攻戦争と無関係ではありません。言うまでもなく、昨夏、ロシアはスーダン軍を支持するように支援を転換し、港へのアクセスと引き換えにスーダンに武器を提供したことで制裁を受けました。このグループの出自に関する従来の誤解は払拭され、彼らの複雑な動機についてもいくらかわかってきたものの、同グループの標的がバラバラであることや、親ロシア派の感情と同調しているように見える活動は、提携の可能性について依然として疑問を呼んでいます。
サイバー犯罪の標的
LameDuckの政治的動機による標的に加え、同グループはDDoS攻撃請負サービスなど、金銭的利益を動機としたサイバー犯罪にも関与していました。LameDuckのアクターとイデオロギーに基づいて標的を関連付けることは容易ですが、金銭的利益が動機であると判断するのは簡単ではないことが判明してきました。このグループのDDoS攻撃請負サービスでは、彼らの攻撃と顧客が実施する攻撃を区別することが難しくなっています。米国司法省の起訴状の公開を通じて、LameDuckのDDoS機能のユーザーは100件以上存在し、世界中の多数の被害��者を標的とした攻撃で悪用されていたことがわかりました。
LameDuckは、DDoS攻撃を仕掛けることで知られ、被害者に対し攻撃を止める引き換えとしての支払いを要求しました。他のLameDuckの活動と同様に、このような脅迫も幅広い標的に向けられました。2023年7月、同グループはファンフィクションサイト「Archive of our own」を攻撃し、攻撃を中止するためにビットコインで3万ドルを要求しましたLameDuckはより大きな標的に目を向け、今年5月にバーレーンのISP Zainへの攻撃が自分たちの仕業であると言い、「攻撃をやめて欲しいなら、InfraSutdown_botに連絡すれば、取引してあげよう」と述べました。もちろん、これが唯一の顕著な標的ではありません。同グループはMicrosoftに対するDDoS攻撃の波を仕掛け、その後すぐに、その行為を止め、さらなる攻撃を防止するためとして100万ドルを要求してきました。もう1つの標的として注目を浴びたのは、スカンジナビア航空で、一連の攻撃を受け、さまざまなオンラインサービスが中断されました。LameDuckの同社への恐喝の試みは、3,500ドルの要求から始まり、後に300万ドルという途方もない金額になりました。成功につながるかどうかにかかわらず、こうした恐喝の要求は、自称するハクティビスト集団としては異例であり、LameDuckの混合戦術の使用や、注意の必要性が浮き彫りになっています。
LameDuckの戦術と技術
LameDuckは運営開始から1年目、35,000件を超える確認されたDDoS攻撃を実行しました。それは、「Godzilla Botnet」、「Skynet Botnet」、「InfraShutdown」など、いくつかの名前で知られる強力なDDoSツールを開発・使用することでした。ボットネットを示唆する多くの名称にもかかわらず、LameDuckが活用するDDoSツールは実際には分散型クラウド攻撃ツール(DCAT)で、次の3つの主要コンポーネントで構成されています。
コマンド&コントロール(C2)サーバー
C2サーバーからコマンドを受け取り、オープンプロキシリゾルバに転送するクラウドベースのサーバー
未提携のサードパーティーがオープンプロキシリゾルバを実行し、DDoS攻撃のトラフィックをLameDuckの標的に送信する
LameDuckはこの攻撃インフラを利用して、被害企業のWebサイトやWebインフラを悪意のあるトラ��フィックの洪水で圧倒しました。適切な保護が行われていないと、このトラフィックは、正当なリクエストに対応するWebサイトの能力を完全に止めることはなくても、深刻な影響を及ぼし、本当にアクセスしたいユーザーがアクセスできなくなる可能性があります。2023年初頭に出現して以来、LameDuckはDCATの機能を使ったさまざまな戦術やテクニックを採用してきました。特定されたパターンには、以下のようなものがあります。
HTTPフラッド経由でアプリケーション層攻撃を行う。当社が検出し、軽減したフラッド攻撃のタイプはHTTP GET攻撃で、攻撃者は数千のユニークIPアドレスから標的のサーバーに数千のHTTP GETリクエストを送信します。 被害者のサーバーは着信リクエストと応答で氾濫し、正当なトラフィックに対するサービス拒否を引き起こします。LameDuckは、マルチベクトル型攻撃(例えば、TCPベースのダイレクトパスと様々なUDPリフレクションまたは増幅ベクトルの組み合わせ)を利用することでも知られていました。
有料インフラの利用:LameDuckは他の多くの攻撃グループと異なり、乗っ取られた個人やIoTデバイスのボットネットを攻撃に使用していないことが調査結果により示されています。実際は、個人所有の機器よりも多くのトラフィックを出力できるレンタルサーバーのクラスターを使って攻撃を仕掛けているのです。LameDuckがこ�れらのサーバーを借りる資金力を持っているという事実も、同グループ自身が主張するような草の根ハクティビストではないと研究者が考える理由となっています。
トラフィックの生成と匿名性。LameDuckは、パブリッククラウドサーバーインフラストラクチャを使用してトラフィックを生成し、無料でオープンなプロキシインフラストラクチャを活用して、攻撃ソースをランダム化して隠蔽しました。証拠は、同グループが身元を隠すために有料プロキシを使用したことを示しています。
高コストのエンドポイント。LameDuckの操作は、一部のインスタンスで、標的とされたインフラの高コストエンドポイント(つまり、リソースを大量に消費する処理を担当するエンドポイント)を狙ったものでした。これらのエンドポイントを攻撃することは、計算量が少なく低コストのエンドポイントを数十個破壊するよりもはるかに破壊的です。
高需要期間。一部の標的に対しては、LameDuckは高需要期間に対応する攻撃時刻を慎重に選択しました。例えば、消費者のピーク時に攻撃を仕掛けて、最大限の混乱を来すことを狙います。
集中攻撃作戦。LameDuckは、標的となるインフラの複数のインターフェイスで一斉に一連の集中的な攻撃を仕掛けることで知られていました。
サブドメインを圧倒。上記の攻撃手法と同様のコンセプトで、LameDuckは被害者のドメインの多数のサブドメインを一斉に標的にします。
低RPS。この攻撃は、正当なトラフィックに紛れ込ませて検出を回避するために、1秒あたりのリクエスト数(RPS)が比較的低くなっていました。
広報やプロパガンダによる脅威の流布:LameDuckは、実際の攻撃を前にして標的を脅迫することが多く、時には脅迫しておきながらも実行に移さなかったこともあります。イデオロギー的な動機で注目を集め、潜在的なターゲットに不確実性を植え付けることを狙っていたと考えられます。
推奨事項
Cloudflareは、LameDuckが直接行う攻撃でも、DDoS請負攻撃サービスを利用して他者が仕掛けた攻撃でも、LameDuckが展開する攻撃から多くのお客様を守ることに成功しています。LameDuckの高度なDDoS攻撃機能により、適切な保護が行われていないネットワークやサービスに深刻な影響を与えたことは、注目すべき重要な点です。残念なことですが、このグループは大規模なDDoS攻撃を成功させている数あるグループの1つに過ぎず、攻撃者らの規模も巧妙さも増し続けています。組織は、DDoS軽減のための標準的ベストプラクティスに従うことにより、LameDuckが行ったような攻撃や同様の高度な敵の攻撃から身を守ることができます。
専用の常時稼働型DDoS軽減を使用する:DDoS軽減サービスは、大容量の帯域幅、ネットワーク・トラフィックの継続的な分析、カスタマイズ可能なポリシー変更を使用し、DDoSトラフィックを吸収して標的のインフラに到達するのを防ぎます。組織は、レイヤー7トラフィック、レイヤー3トラフィック、DNSに対するDDoS攻撃対策を確実に実装すべきとなります。
Webアプリケーションファイアウォール(WAF)�を使用する:WAFは、カスタマイズ可能なポリシーを使用により、Webアプリケーションとインターネット間の悪意のあるHTTPトラフィックをフィルタリング、検査、ブロックします。
レート制限の調整:レート制限することで、特定の時間帯におけるネットワークトラフィックの量を制限し、特定のIPアドレスからのリクエストによってWebサーバーが過負荷状態になることを根本から防ぎます。
CDNでコンテンツをキャッシュする:キャッシュは、リクエストされたコンテンツのコピーを保存し、配信元サーバーの代わりに提供するものです。コンテンツ・デリバリー・ネットワーク(CDN)のリソースをキャッシングすることで、DDoS攻撃時に組織のサーバーにかかる負担を軽減することができます。
攻撃対応の社内プロセスを確立する:これには、既存のセキュリティ保護と機能を理解すること、不要な攻撃��対象領域を特定すること、攻撃パターンを探すためにログを分析すること、攻撃が始まったときにどこを見て何をすべきかのプロセスを整備することなどが含まれる。
DDoS軽減戦略についての詳細解説は、リンクよりお読みいただけます。
Cloudforce Oneについて
Cloudflareでは、より良いインターネットの構築を支援することをミッションとしています。より良いインターネットは、信頼を破壊しインターネットを捻じ曲げて個人的または政治的な利益をもくろむ脅威アクターを検出、阻害、弱体化する善意の力によってのみ実現します。セキュリティチームが速やかかつ自身のある判断のために必要なコンテキスト情報をもたらすため、脅威インテリジェンスを発行することを課題に世界有数の脅威リサーチャーが活動するCloudflareの専属チームであるCloudforce Oneがこれを支えています。他の誰もが持つことのないユニークな洞察により、攻撃を特定し、これを防御しています。
インターネットの約20%を包含する、Cloudflareの持つ世界最大級のグローバルネットワークこそが、その可視性の根源となっています。弊社サービスは、インターネットの隅々に渡り無数のユーザーによって採用されており、最も注目すべき攻撃を含めグローバルで起きているイベントに対し、弊社には比類なき可視性が得られています。この有利な視野を持つこ�とで、Cloudforce Oneはリアルタイムでの偵察を行い、開始地点から攻撃を阻害し、インテリジェンスを戦略的な成功へと変えることができるのです。
