深入剖析 LameDuck:駭客組織 Anonymous Sudan 的威脅行動
威脅報告 - 2024 年 10 月 31 日
美國司法部 (DOJ) 最近公佈了一份起訴書,概述了為瓦解 Anonymous Sudan 所做的努力。該團夥在 Cloudflare 追蹤系統中的代號為 LameDuck,因其政治驅動的駭客活動和參與大規模分散式阻斷服務 (DDoS) 攻擊而臭名昭著。這份涵蓋廣泛的倡議旨在將該團夥關鍵成員繩之以法,是改善網際網路安全性的重要步驟,並且是在國際執法機構和私營部門實體(包括 Cloudflare)協同努力開展的。這凸顯了所有利害關係人攜手合作對抗當今最先進的網路威脅的重要性,也展現了透明度對提升威脅情報品質和深度的價值。因此,Cloudflare 樂意分享我們在追蹤和挫敗 LameDuck 攻擊行動過程中所獲得的見解,以幫助您加強對類似網路威脅的防禦。
報告摘要
美國司法部最近公佈了一份起訴書,指控兩名蘇丹兄弟在 2023 年 1 月至 2024 年 3 月期間策劃 LameDuck 的大規模 DDoS 攻擊活動。透過執法部門和私營企業(包括 Cloudflare)的協調努力,這份起訴書才得以完成
LameDuck 開發並管理著名為「Skynet Botnet」的分散式雲端攻擊工具,讓他們能夠在一年內發動超過 3.5 萬起已證實的 DDoS 攻擊,並透過將 DDoS 服務出售給超過 100 個客戶來獲利
這一威脅組織的行動展現出一種不尋常的動機組合,其攻擊目標涵蓋全球範圍內的多個產業和政府機構
Cloudflare 發現 LameDuck 攻擊與地緣政治事件有及時的關聯性,其攻擊目標均為高價值對象,符合其反西方意識形態
LameDuck 是誰?
LameDuck 是一個於 2023 年 1 月浮現的網路威脅組織,自稱是一個反西方、親伊斯蘭的政治驅動團體。該組織以對廣泛的全球目標發動數以千計的 DDoS 攻擊而聞名,攻擊對象包括關鍵基礎設施(如機場、醫院、電信服務提供者和銀行)、雲端服務提供者、醫療、學術界、媒體以及政府機構。
LameDuck 在社群媒體上公開針對知名組織的成功攻擊,擴大事件影響力,也提供 DDoS 租賃服務,因而臭名昭彰。該組織的行動不僅包括成功實施的大規模 DDoS 攻擊,還進行 DDoS 勒索或勒索型 DDoS 攻擊。該團夥對經濟利益的關注,使其聲稱的政治或宗教主張受到質疑,因其大部分行動更接近以經濟為驅動的網路犯罪。
混合動機
使其動機顯得更複雜的是,LameDuck 的攻擊行動包含相差巨大的各種類型,對各種完全不同的目標發動高調攻擊,自稱支援一種奇特的意識形態組合,包括反以色列、親俄羅斯和蘇丹民族主義情緒。然而,這些攻擊很可能�只是為了彰顯惡名。事實上,LameDuck 大量利用其社群媒體平台發佈公開警告並傳播其故事,以吸引廣泛關注。
歸屬分析
LameDuck 不同尋常的動機組合,加上他們的宗教言論以及與其他駭客組織的表面聯盟(例如,與 Killnet、Türk Hack Team、SiegedSec 合作,以及參與 #OpIsreal 和 #OPAustralia 駭客活動),加劇了人們對其真實起源和目的的猜測。先前的歸屬分析理論認為,LameDuck 是俄羅斯國家支援的駭客組織,只是偽裝成蘇丹民族主義者。然而,根據美國司法部的起訴書揭示,策劃 LameDuck 的大量高度破壞性 DDoS 攻擊的幕後黑手實際上並非俄羅斯人,而是兩名蘇丹兄弟。
針對 LameDuck 的蘇丹領導人的刑事指控並未排除俄羅斯參與該組織行動的可能性。很難忽視以下事實:共同的意識形態,訊息中使用俄語並包含親俄羅斯言論,攻擊目標符合俄羅斯利益,以及與 Killnet 等親俄羅斯的「駭客」組織之間的配合。
LameDuck 攻擊目標與受害者分析
LameDuck 經常針對高知名度、備受矚目的目標發動攻擊,以吸引更多關注並放大攻擊的影響力。其攻擊目標涵蓋了廣泛的地理區域,包括美國、澳大利亞,以及歐洲、中東、南亞和非洲的多個國家。LameDuck 的目標也涵蓋了眾多領域和產業垂直領域,其中一些更引人注目的目標屬於以下領域:
政府與外交政策
關鍵的基礎架構
遵循執法要求準則
新聞和媒體
科技產業
這份清單僅代表受攻擊產業的一部分,凸顯了 LameDuck 攻擊行動所波及的產業之廣泛。
成為 LameDuck 攻擊目標的潛在原因包括:
目標組織或實體反對 LameDuck 的意識形態信仰
LameDuck 有可能因為某特定基礎架構有潛力影響更大的使用者群體而選擇其作為目標,從而放大所造成的破壞並彰顯該組織的惡名
由於存在漏洞和/或糟糕的安全做法,對特定基礎架構發動 DDoS 攻擊更容易成功
具有政治動機的目標鎖定
Cloudflare 觀察到,大量 LameDuck 攻擊目標與該組織自稱的親穆斯林蘇丹「駭客主義」組織身分相符。特別是,蘇丹的衝突及其政治影響似乎驅動了部分攻擊目標的選擇。例如,針對肯亞組織的攻擊可能源自於蘇丹政府與肯亞日益緊張的關係,這一系列事件最終導致蘇丹在 1 月召回駐肯亞大使。出於政治動機的攻擊瞄準了 Microsoft 和 OpenAI 等私人公司,LameDuck 宣佈,只要美國政府繼續「幹預蘇丹內政」,他們將無差別地攻擊美國公司。除了衝突,LameDuck 還發起了一系列行動,表明了對蘇丹民族主義情緒的支援,例如針對埃及網際網路服務提供者的攻擊。他們聲稱此舉旨在「向埃及政府發出訊息,即他們應該追究在社交媒體上侮辱蘇丹人民的人的責任,就像我們在蘇丹對那些侮辱埃及人的人所做的那樣。」
基於 LameDuck 的親穆斯林立場,其攻擊目標還包括被認為有伊斯蘭恐懼症的組織。例如,針對瑞典組織的高強度攻擊據稱是對焚燒《古蘭經》的懲罰。此外,在加拿大和德國穆斯林受到明顯侮辱後,LameDuck 宣佈將這些國家列入其目標名單。
在 2023 年 10 月 7 日哈瑪斯發動攻擊及隨後以色列採取軍事行動後,LameDuck 也更專注於攻擊親以色列目標。Cloudflare 觀察到針對以色列組織的廣泛攻擊行動,涵蓋多個產業。例如,2023 年 10 月針對美國和國際主流新聞媒體的攻擊,指責其「虛假宣傳」。Cloudflare 不僅觀察到並緩解了針對各類組織的攻擊,而且本身也成為了攻擊目標。去年 11 月,LameDuck 對 Cloudflare「正式宣戰」,聲稱發動攻擊的理由在於 Cloudflare 是美國公司,且其服務用於保護以色列網站。
此外,Cloudflare 觀察到 LameDuck 對烏克蘭發動大量攻擊,尤其是國家機構和波羅的海地區的關鍵交通基礎設施。由於蘇丹行為者在烏克蘭並不活躍,這些活動引發了有關俄羅斯參與 LameDuck 行動的猜測。然而,蘇丹的地緣政治局勢發展與俄羅斯針對烏克蘭的軍事行動不無關係,因為俄羅斯和烏克蘭的軍隊都在蘇丹活動。更不用說,去年夏季,俄羅斯轉而支援蘇丹武裝部隊,並因向蘇丹提供武器以換取港口使用權而受到製裁。儘管關於該組織起源的早期誤解已被澄清,對其複雜動機的理解也有所提高,但其不同的攻擊目標和似乎表達出親俄意向的行動,仍然引發了人們對其可能的隸屬關係的猜疑。
網路犯罪目標
除了政治驅動的目標外,該團夥還參與以盈利為目的的網路犯罪,包括 DDoS 租賃服務。將意識形態驅動的目標選擇與 LameDuck 執行者聯繫起來較為容易,但對出於經濟利益動機的行動進行歸因往往較為複雜。由於該團夥提供 DDoS 攻擊租賃服務,導致難以區分該團夥本身的攻擊行動與其客戶發動的攻擊。透過美國司法部的起訴書,我們瞭解到 LameDuck 有 100 多個使用者使用其 DDoS 能力,針對全球眾多受害者發動攻擊。
LameDuck 也以進行 DDoS 勒索而聞名,要求受害者支付費用以換取停止攻擊。與其他 LameDuck 攻擊行動一樣,這些勒索企圖針對廣泛的目標。2023 年 7 月,該團體攻擊了同人小說網站 Archive of our own,並要求價值 3 萬美元的比特幣作為撤回攻擊的條件。之後,LameDuck 瞄準了一個更大的目標,在今年 5 月,他們宣稱對巴林網際網路服務提供者 Zain 發動了攻擊,並公開聲明:「如果希望我們停止攻擊,請聯絡 InfraShutdown_bot,我們可以達成協議。」當然,這並非他們唯一的重要攻擊目標。該組織對 Microsoft 發起了一系列 DDoS 攻擊,並在不久後索取 100 萬美元,以換取停止行動並不再發動進一步的攻擊。另一個高調目標是斯堪地那維亞航空,其遭受了一系列攻擊,導致多項線上服務中斷。LameDuck 最初對該航空公司勒索 3,500 美元,隨後迅速膨脹到驚人的 300 萬美元。無論是否成功,對於一個自稱駭客主義者的團夥而言,這些勒索要求並不尋常,進一步凸顯了 LameDuck 使用不同策略以及尋求關注的明顯需求。
LameDuck 的攻擊手法與技術
在運作的第一年,LameDuck 開發並使用了一個強大的 DDoS 工具,進行了超過 3.5 萬次已確認的 DDoS 攻擊。該工具有多個名字,包括「Godzilla Botnet」、「Skynet Botnet」和「InfraShutdown」等。儘管其許多名稱表明它是殭屍網絡,但 LameDuck 所利用的 DDoS 工具實際上是一種分散式雲端攻擊工具 (DCAT),包括三個主要元件:
命令與控制 (C2) 伺服器
基於雲端的伺服器,接收來自 C2 伺服器的命令並將其轉寄至開放的代理解析程式
由無關聯第三方執行的開放代理解析程式,用於將 DDoS 攻擊流量傳輸到 LameDuck 目標
LameDuck 利用該攻擊基礎架構,使用大量惡意流量使受害者組織的網站和/或 Web 基礎架構陷入癱瘓。若未部署適當的防護措施,這類流量可能會嚴重影響網站回應合法要求的能力,甚至使其完全無法正常運行,導致實際使用者無法存取。自 2023 年初出��現以來,LameDuck 採用了各種策略和技術,以利用其 DCAT 能力。已識別的幾種模式包括:
透過 HTTP 洪水發動第 7 層攻擊。我們偵測到並緩解的洪水攻擊是一種 HTTP GET 攻擊,其中攻擊者從數千個不重複 IP 位址向目標伺服器傳送數以千計的 HTTP GET 要求。目標伺服器被大量輸入要求和回應淹沒,最終導致對合法流量拒絕服務。LameDuck 也會利用多手段攻擊(例如,結合了基於 TCP 的直接路徑和各種 UDP 反射或放大手段)。
使用付費基礎架構。與許多其他攻擊團體不同,研究表明,LameDuck 不使用遭入侵的個人和 IoT 裝置組成的殭屍網路來發動攻擊。而是使用租用伺服器叢集來發動攻擊,這些伺服器可以輸出比個人裝置更多的流量。事實上,LameDuck 有財力租用這些伺服器,這是一些研究人員認為該組織並非他們所聲稱的草根駭客活動分子的另一個原因。
流量產生與匿名性。LameDuck 利用公有雲端伺服器基礎架構產生流量,並透過免費、開放的代理基礎架構隨機化和隱藏攻擊來源。證據顯示,在某些情況下,該組織還使用付費代理來掩蓋自己的身分。
高成本端點。在某些情況下,LameDuck 會攻擊目標基礎架構的高��成本端點(即負責資源密集型處理的端點)。攻擊這些端點更具破壞性,遠遠超過攻擊數十個運算強度較低的低成本端點。
高需求時段。對於某些目標,LameDuck 會謹慎地選擇在目標的高需求時段發起攻擊。例如,在消費者高峰期發起攻擊,以實現最大程度的破壞。
閃電戰方法。LameDuck 以同時對目標基礎架構的多個介面發動一系列集中攻擊而聞名。
壓垮子網域。概念與上述攻擊技術類似,LameDuck 會同時針對受害者網域的多個子網域。
低 RPS。攻擊的每秒要求數 (RPS) 相對較低,試圖融入合法流量以避免偵測。
透過公告和宣傳進行威脅。LameDuck 經常在實際攻擊之前威脅目標,有時還會發出從未被證實的威脅。這樣做的可能原因包括吸引人們對其意識形態動機的關注,以及在潛在目標中播下不確定性的種子。
建議
Cloudflare 已成功為眾多客戶防禦了 LameDuck 促成的攻擊,無論是該組織直接發起的攻擊,還是透過其 DDoS 租賃服務進行的攻擊。值得注意的是,LameDuck 的進階 DDoS 攻擊能力使其能夠對未部署適當防護措施的網路和服務造成嚴重影響。但不幸的是,該組織僅是成功實施大規模 DDoS 攻擊的眾多團夥之一,而且這類攻擊的規模和複雜性正在持續成長。企業和組織可以透過遵循一套標準的 DDoS 緩解最佳做法,保護自己免受 LameDuck 發動的攻擊以及類似的進階威脅。
使用專用的、始終在線的 DDoS 緩解措施。DDoS 緩解服務使用大頻寬容量、對網路流量的持續分析以及可自訂的原則變更來吸收 DDoS 流量並防止其到達目標基礎架構。組織應確保他們對應用程式層流量、第 3 層流量和 DNS 具有 DDoS 防護
使用 Web 應用程式防火牆 (WAF)。WAF 使用可自訂的原��則來篩選、檢查和封鎖 Web 應用程式與網際網路之間的惡意 HTTP 流量
設定限速。限速限制特定時間段內的網路流量,從根本上防止Web 伺服器被來自特定 IP 位址的請求淹沒
在 CDN 上快取內容。快取儲存所請求內容的復本並代替來源伺服器提供這些內容。在內容傳遞網路 (CDN) 上快取資源可以減輕組織伺服器在 DDoS 攻擊期間的壓力
建立回應攻擊的內部流程。這包括瞭解現有的安全保護和功能、識別不必要的攻擊面、分析記錄以查找攻擊模式,以及製定在攻擊開始時查找位置和執行操作的流程
關於 Cloudforce One
Cloudflare 的使命是幫助構建更好的網際網路。建立更好的網際網路離不開正義力量,以偵測、阻止和削弱試圖侵蝕信任、為個人或政治利益而操縱網際網路的威脅執行者。Cloudforce One 應運而生,這是 Cloudflare 的專職團隊,由世界知名的威脅研究人員組成,其工作是發佈威脅情報,以便為安全性團隊提供必要的背景資訊,從而快速且自信地做出決策。我們透過獨有的見解來識別和防禦攻擊。
我們擁有的可見性基於 Cloudflare 的全球網路,這是世界上最大的網路之一,覆蓋約 20% 的網際網路。我們的服務已被遍布網際網路每個角落的數百萬使用者所採用,使我們能夠針對全球網路安全事件獲得無與倫比的見解——包括網際網路上最具代表性的攻擊。這一有利地位使 Cloudforce One 能夠執行即時偵察,從攻擊源頭阻斷攻擊,並將情報轉化為戰術成功。
