Au cœur de LameDuck : analyse des menaces d'Anonymous Sudan

Rapport sur les menaces : 31 octobre 2024

Sommaire

Synthèse

Qu'est-ce que LameDuck ?

Le ciblage et les victimes de LameDuck

Tactiques et techniques de LameDuck

Recommandations

Produits associés

Protection contre les attaques DDoS

Pare-feu d'applications web

Contrôle du volume

CDN

Le Département de la justice des États-Unis (DOJ) a récemment révélé un acte d'accusation décrivant les efforts déployés pour démanteler Anonymous Sudan, un groupe très en vue suivi par Cloudflare sous le nom de LameDuck, connu pour son hacktivisme aux motivations en apparence politiques et pour son implication considérable dans des attaques par déni de service distribué (DDoS). Cette initiative d'envergure visant à traduire en justice les principaux membres du groupe constitue une avancée impressionnante vers l'amélioration de la sécurité sur Internet. Elle a été rendue possible grâce aux efforts coordonnés d'organismes internationaux chargés de faire respecter les lois et d'entités du secteur privé, notamment Cloudflare. Elle souligne l'importance du partenariat réunissant toutes les parties prenantes dans la lutte contre les cybermenaces les plus avancées d'aujourd'hui, tout en démontrant la valeur que la transparence apporte à l'amélioration des informations sur les menaces. À ce titre, Cloudflare est impatiente de partager les informations issues de son expérience en matière de suivi et d'interruption des opérations de LameDuck, afin de vous aider à renforcer vos défenses contre des menaces similaires.


Synthèse

  • Le DOJ a récemment rendu public un acte d'accusation révélant des charges à l'encontre de deux frères soudanais accusés d'avoir orchestré des opérations DDoS à grande échelle de LameDuck de janvier 2023 à mars 2024. L'acte d'accusation a été rendu possible grâce à l'action conjuguée des forces de l'ordre et du secteur privé, notamment Cloudflare

  • LameDuck a développé et géré « Skynet Botnet », un outil d'attaque cloud distribué, qui lui a permis de lancer plus de 35 000 attaques DDoS confirmées en un an, tout en s'enrichissant de la vente de ses services DDoS à peut-être plus de 100 clients

  • Les opérations de l'acteur malveillant ont révélé une combinaison inhabituelle de motivations, ainsi qu'un large éventail de secteurs et de gouvernements ciblés à travers le monde

  • Cloudflare a observé une corrélation opportune entre des événements géopolitiques et les attaques de LameDuck contre des cibles très en vue, ce qui laisse transparaître une idéologie anti-occidentale

Qu'est-ce que LameDuck ?

LameDuck est un groupe de menaces apparu en janvier 2023. Il se présente comme un collectif anti-occidental et pro-musulman à motivation politique. Le groupe est connu pour avoir lancé des milliers d'attaques DDoS contre un vaste ensemble de cibles internationales parmi des infrastructures essentielles (aéroports, hôpitaux, fournisseurs de télécommunications, banques), fournisseurs de cloud, services de santé, universités, médias et agences gouvernementales.

LameDuck a gagné en notoriété avec un nombre croissant d'attaques réussies contre des organisations largement reconnues via les réseaux sociaux, tandis qu'il proposait des services DDoS-for-hire. Parmi leurs opérations figurent non seulement des attaques DDoS de grande ampleur, mais également des tentatives d'extorsion via des attaques DDoS ou des DDoS avec demande de rançon. L'intérêt affiché par le groupe pour le gain monétaire a remis en question l'importance accordée à un discours politique ou religieux, et bon nombre de ses opérations s'apparentent davantage à de la cybercriminalité motivée par des raisons financières.

Mélange de motivations

Pour ajouter encore de la complexité aux motivations de cet acteur, l'activité menée par LameDuck a révélé un ensemble d'opérations disparates, au cours desquelles des attaques très médiatisées ont été lancées contre des cibles très diverses, en soutien autoproclamé à un étrange mélange de sentiments nationalistes anti-israéliens, pro-russes et soudanais. Il est toutefois possible que ces attaques aient été simplement motivées par la nécessité de renforcer sa réputation et de gagner en notoriété. En fait, LameDuck a largement tiré parti de sa propre présence sur le réseau social pour émettre des avertissements publics et diffuser largement son discours afin d'attirer l'attention du plus grand nombre.

Attribution

La combinaison inhabituelle de motivations de LameDuck, ainsi que sa rhétorique religieuse et ses alliances évidentes avec d'autres groupes d'hacktivistes (citons par exemple sa collaboration avec Killnet, Türk Hack Team, SiegedSec et la participation aux campagnes #OpIsreal et #OPAustralia ) ont nourri les spéculations concernant ses véritables origines et objectifs. Des théories précédentes concernant l'attribution ont suggéré que LameDuck était un groupe soutenu par l'État russe qui se faisait passer pour des nationalistes soudanais. Cependant, l'acte d'accusation rendu public par le DOJ a révélé que les individus qui orchestraient les opérations DDoS prolifiques et très perturbatrices de LameDuck n'étaient en fait pas russes, mais qu'il s'agissait de deux frères soudanais.

Les charges pénales contre les dirigeants de LameDuck, basés au Soudan, n'écartent pas obligatoirement la possibilité d'une éventuelle implication de la Russie dans les opérations du groupe. Il est difficile d'ignorer leurs idéologies communes, l'utilisation de la langue russe et l'inclusion d'une rhétorique pro-russe dans les messages de LameDuck, ainsi que la coordination du groupe avec des collectifs « hacktivistes » pro-russes tels que Killnet.

Le ciblage et les victimes de LameDuck

LameDuck a souvent mené des opérations contre des cibles très médiatisées et à haute visibilité afin d'attirer l'attention et d'amplifier les répercussions de ses attaques. Le groupe ciblait une large zone géographique, notamment les États-Unis, l'Australie et des pays d'Europe, du Moyen-Orient, d'Asie du Sud et d'Afrique. Les cibles de LameDuck ont également couvert de nombreux secteurs et marchés verticaux, certaines des cibles les plus remarquables appartenant aux domaines suivants :

  • Gouvernement et politique étrangère

  • Infrastructure essentielle

  • Application de la loi

  • Actualités et médias

  • Secteur de la technologie

Cette liste ne représente qu'une partie des secteurs ciblés, et met en évidence le large éventail de secteurs concernés par les activités de LameDuck.

Les raisons ayant potentiellement poussé LameDuck à cibler une entreprise sont les suivantes :

  • L'entreprise ou l'entité ciblée était en opposition avec les convictions idéologiques de LameDuck

  • LameDuck peut avoir choisi de cibler une infrastructure spécifique pour le ciblage en raison des répercussions potentielles sur une plus grande base d'utilisateurs, dans le but d'amplifier les perturbations engendrées et de renforcer la notoriété du groupe

  • Les chances de réussir des attaques DDoS sur une infrastructure spécifique, en raison de vulnérabilités ou de mauvaises pratiques de sécurité

Un ciblage à motivation politique

D'après les observations de Cloudflare, un volume considérable du ciblage de LameDuck s'inscrit dans la continuité de son identité auto-proclamée de groupe « hacktiviste » pro-musulman. Concrètement, le conflit au Soudan et ses répercussions politiques semblent définir un sous-ensemble de ses cibles. Les attaques contre des organisations kényanes pourraient, par exemple, s'expliquer par les relations de plus en plus tendues entre le gouvernement soudanais et le Kenya, qui ont été jusqu'à provoquer le rappel de son ambassadeur au Kenya en janvier. Des attaques à motivation politique ont visé des entreprises du secteur privé telles que Microsoft et OpenAI, LameDuck ayant annoncé son intention de cibler sans discernement les entreprises américaines tant que le gouvernement américain continuerait de « s'immiscer dans les affaires internes du Soudan. » En marge du conflit, LameDuck a mené à bien des opérations mettant en évidence son soutien à des opinions nationalistes au Soudan comme lorsqu'il a ciblé des fournisseurs d'accès égyptiens dans le cadre d'attaques qui, selon eux, visait à « envoyer un message au gouvernement égyptien afin qu'il tienne pour responsable toute personne insultant les Soudanais sur les médias sociaux, tout comme nous le faisons au Soudan à l'égard de ceux qui insultent des Égyptiens. »

La position pro-musulmane de LameDuck a également conduit à cibler des organisations perçues comme islamophobes. Des organisations suédoises ont par exemple été ciblées en représailles après que des exemplaires du Coran ont été brûlés. De même, à la suite d'insultes proférées à l'encontre de musulmans au Canada et en Allemagne, LameDuck a annoncé avoir ajouté ces pays à sa liste de cibles.

LameDuck a également visé particulièrement des cibles pro-israéliennes à la suite de l'attaque du Hamas le 7 octobre 2023 et de l'action militaire israélienne qui s'en est suivie. Cloudflare a observé des opérations à grande échelle contre des organisations israéliennes dans tous les secteurs, avec des attaques lancées en octobre 2023, par exemple, contre des médias américains et internationaux très en vue, les accusant de « fausse propagande. » Cloudflare a non seulement observé et atténué des attaques contre diverses organisations, mais elle est elle-même devenue une cible. En novembre dernier, LameDuck a « officiellement déclaré la guerre » à Cloudflare, en évoquant le fait que l'attaque était due à notre statut d'entreprise américaine et à l'utilisation de nos services pour protéger des sites web israéliens.

Dans d'autres cas, Cloudflare a observé que LameDuck ciblait fortement l'Ukraine, en particulier des organisations nationales ou des infrastructures de transport essentielles dans les pays baltes. Ces activités ont nourri des spéculations concernant l'implication de la Russie dans les opérations de LameDuck, car les acteurs soudanais ne sont pas actifs en Ukraine. Toutefois, les développements géopolitiques au Soudan ne sont pas sans liens avec l'agression militaire de la Russie contre l'Ukraine, dans la mesure où les forces russes et ukrainiennes sont actives au Soudan. Par ailleurs, l'été dernier, la Russie a réorienté son soutien afin de privilégier les forces armées soudanaises, et a été sanctionnée pour avoir fourni des armes au Soudan en échange de l'accès à un port. Si les anciens malentendus concernant l'origine du groupe ont été dissipés et qu'il a été établi que les motivations étaient mixtes, la disparité de ses ciblages et opérations, qui semblent rester conformes à un sentiment pro-russe, soulève toujours des questions concernant ses éventuelles affiliations.

Ciblage des cybercriminels

Outre des attaques liées à des motivations politiques, LameDuck s'est engagé dans une cybercriminalité motivée par le gain financier, notamment dans le cadre de services DDoS-for-hire. S'il est plus facile d'associer les acteurs de LameDuck à un ciblage idéologique, il est souvent moins simple de leur attribuer les opérations motivées par un gain financier. Les services DDoS-for-hire du groupe rendent plus difficile la distinction entre les attaques lancées par le groupe et celles lancées par leurs clients. Lorsque l'acte d'accusation du DOJ a été rendu public, nous avons découvert que plus de 100 utilisateurs avaient recours aux capacités DDoS proposées par LameDuck, lesquelles ont été utilisées pour lancer des attaques visant de nombreuses victimes à travers le monde.

LameDuck était également connu pour sa pratique d'extorsion par DDoS, exigeant un paiement de ses victimes en échange de l'arrêt des attaques. À l'instar d'autres opérations de LameDuck, ces tentatives d'extorsion visaient un grand nombre de cibles. En juillet 2023, le groupe s'en est pris au site de fanfictions Archive of our own, et a exigé 30 000 dollars en bitcoins pour mettre fin à cette attaque. Visant une cible beaucoup plus importante, LameDuck a revendiqué en mai de cette année une attaque contre le fournisseur d'accès Internet de Bahreïn Zain, déclarant publiquement : « Si vous souhaitez que nous arrêtions, contactez-nous à l'adresse InfraShutdown_bot et nous pouvons passer un accord ». Bien sûr, il ne s'agissait pas de leur seule cible importante. Le groupe a lancé une vague d'attaques DDoS contre Microsoft et, peu après, a exigé 1 million de dollars pour mettre fin à ses activités et empêcher d'autres attaques. Autre cible très médiatisée, Scandinavian Airlines a subi une série d'attaques ayant entraîné la désorganisation de différents services en ligne. Les tentatives de LameDuck d'escroquer la compagnie aérienne ont commencé par des demandes de 3 500 dollars, puis ont grimpé à 3 millions de dollars. Qu'elles aboutissent ou non, ces demandes d'extorsion sont inhabituelles pour un groupe d'hacktivistes auto-proclamé et mettent en évidence le recours à des tactiques mixtes par LameDuck et un besoin apparent d'attention.

Tactiques et techniques de LameDuck

Au cours de sa première année d’activité, LameDuck a mené plus de 35 000 attaques DDoS confirmées en développant et en utilisant un puissant outil de DDoS connu sous plusieurs noms, dont « Godzilla Botnet », « Skynet Botnet » et « InfraShutdown ». Malgré les nombreux noms suggérant qu'il s'agit d'un botnet, l'outil DDoS utilisé par LameDuck est en fait un outil d'attaque cloud distribué (DCat), composé de trois éléments principaux :

  1. Un serveur de commande et de contrôle (C2)

  2. Des serveurs cloud qui reçoivent les commandes du serveur C2 et les transmettent à des résolveurs de proxy ouverts

  3. Des résolveurs de proxy ouverts exécutés par des tiers non affiliés, qui transmettent ensuite le trafic hostile des attaques DDoS aux cibles de LameDuck

LameDuck a utilisé cette infrastructure d'attaque pour saturer le site web ou l'infrastructure web d'une organisation victime avec un flot de trafic malveillant. En l'absence de protections adéquates, ce trafic peut avoir des répercussions considérables sur la capacité d'un site web à répondre aux demandes légitimes, voire le bloquer complètement, et ainsi empêcher les utilisateurs légitimes d'accéder au site. Depuis son émergence au début de l'année 2023, LameDuck a employé diverses tactiques et techniques pour mettre à profit les fonctionnalités de son outil d'attaque cloud distribué (DCAT). Plusieurs schémas ont été identifiés, notamment :

  • Lancement d'attaques au niveau de la couche applicative par saturation HTTP. Les attaques par saturation (flood) que nous avons détectées et atténuées étaient de type HTTP GET ; il s'agissait d'envoyer des milliers de requêtes HTTP au serveur ciblé à partir de milliers d'adresses IP uniques. Le serveur victime est submergé de requêtes et de réponses entrantes, entraînant un déni de service pour le trafic légitime. LameDuck était également connu pour ses attaques multi-vecteurs (par exemple, une combinaison de chemin direct basé sur TCP et de divers vecteurs de réflexion ou d'amplification UDP).

  • Utilisation d'une infrastructure payante. Les recherches révèlent que LameDuck, à la différence de nombreux autres groupes de pirates, n'utilisait pas de botnet composé d'appareils personnels et IoT compromis pour mener ses attaques. À la place, le groupe utilisait un cluster de serveurs loués (capables de générer davantage de trafic que les appareils personnels) pour lancer ses attaques. Le fait que LameDuck disposait des ressources financières nécessaires pour louer ces serveurs est une autre raison pour laquelle certains chercheurs pensaient que le groupe n'est pas le groupe d'hacktivistes locaux qu'il prétend être.

  • Génération de trafic et anonymat. LameDuck a utilisé une infrastructure de serveur cloud public pour générer du trafic, et a également exploité une infrastructure de proxy gratuite et ouverte pour randomiser et dissimuler la source de l'attaque. Des preuves indiquent que le groupe a également eu recours à des proxys payants pour dissimuler son identité.

  • Points de terminaison à coût élevé. Dans certains cas, les opérations de LameDuck ciblaient des points de terminaison à coût élevé de l'infrastructure ciblée (c'est-à-dire les points de terminaison correspondant à un traitement gourmand en ressources). L'attaque de ces points de terminaison engendre beaucoup plus de perturbations que l'élimination de plusieurs dizaines de points de terminaison à faible coût et moins gourmands en calcul.

  • Périodes de forte demande. Pour certaines cibles, LameDuck a pris grand soin de choisir d'attaquer à des moments correspondant à des périodes de forte demande pour la cible. Par exemple, les attaques lancées pendant les périodes de forte consommation dans le but de provoquer le maximum de perturbations.

  • La technique du Blitz. LameDuck était connue pour lancer simultanément une série d'attaques concentrées sur plusieurs interfaces de son infrastructure cible.

  • Saturation de sous-domaines. Concept similaire à la technique d'attaque ci-dessus, dans laquelle LameDuck ciblait simultanément de nombreux sous-domaines du domaine victime.

  • Faible taux de RPS. Le nombre de requêtes par seconde (r/s) nécessaire à l'attaque était relativement faible pour se fondre dans le trafic légitime et éviter la détection.

  • Envoi de menaces par le biais d'annonces publiques et par la propagande. LameDuck menaçait souvent ses cibles avant de s'en prendre à elles et a parfois brandi des menaces qui n'ont jamais été mises à exécution. Ce mode opératoire vient probablement d'une volonté d'attirer l'attention sur ses motivations idéologiques et de semer le doute parmi les cibles potentielles.

Recommandations

Cloudflare a réussi à défendre de nombreux clients contre les attaques menées par LameDuck, qu'il s'agisse d'attaques lancées directement par le groupe ou de celles lancées par des particuliers utilisant leurs services DDoS-for-hire. Il est important de souligner que les fonctionnalités DDoS avancées de LameDuck lui ont permis d'engendrer des conséquences graves pour des réseaux et services qui ne disposaient pas de protections adéquates. Cela dit, il ne s'agit que d'un groupe parmi tant d'autres qui s'emploient à des attaques DDoS de grande ampleur, dont la taille et la sophistication ne font que croître. Les organisations peuvent se protéger des attaques telles que celles lancées par LameDuck et d’autres adversaires avancés du même genre en respectant un ensemble standard de bonnes pratiques en matière d’atténuation des attaques DDoS.

  • Utiliser un service d'atténuation des attaques DDoS dédié et toujours actif. Les services d'atténuation des attaques DDoS s'appuient sur une grande capacité en termes de bande passante, l'analyse continue du trafic réseau et des modifications de politiques personnalisables pour absorber le trafic DDoS et l'empêcher d'atteindre l'infrastructure ciblée. Les entreprises doivent s'assurer de disposer d'une protection contre les attaques DDoS pour le trafic de couche 7, le trafic de couche 3 et le DNS.

  • Utiliser un pare-feu d'applications web (WAF). Un pare-feu WAF utilise des règles personnalisables pour filtrer, inspecter et bloquer le trafic HTTP malveillant circulant entre les applications web et Internet.

  • Configurez un contrôle du volume de requêtes. Le contrôle du volume de requêtes limite le volume du trafic réseau sur une période donnée, afin d'empêcher les serveurs web d'être submergés par des requêtes provenant d'adresses IP spécifiques.

  • Mettre le contenu en cache sur un CDN. Un cache stocke des copies du contenu demandé et les diffuse à la place d'un serveur d'origine. La mise en cache des ressources sur un réseau de diffusion de contenu (Content Delivery Network, CDN) peut réduire la pression exercée sur les serveurs d'une entreprise lors d'une attaque DDoS.

  • Mettre en place des procédures internes pour répondre aux attaques. Il s'agit notamment de comprendre la protection et les capacités existantes en matière de sécurité, d'identifier les surfaces d'attaque inutiles, d'analyser les journaux à la recherche de schémas d'attaque et de mettre en place des processus afin de savoir où chercher et quoi faire lorsqu'une attaque se produit

En savoir plus sur les stratégies d'atténuation des attaques DDoS.

À propos de Cloudforce One

Cloudflare s'est fixé pour mission de contribuer à bâtir un Internet meilleur. Or, un Internet meilleur ne peut exister que si les forces du bien sont capables de détecter, d'entraver et de détruire les acteurs malveillants qui cherchent à saper la confiance et à manipuler Internet à leurs propres fins, personnelles ou politiques. C'est ici que Cloudforce One entre en jeu : mise en place par Cloudflare, cette équipe dédiée de chercheurs de renommée mondiale dans le domaine des menaces a été chargée de publier des informations sur ces dernières afin d'armer les équipes de sécurité du contexte nécessaire pour prendre des décisions rapides, en toute confiance. Nous identifions les attaques et vous protégeons contre celles-ci grâce à des statistiques dont personne d'autre ne dispose.

Notre visibilité repose avant tout sur le réseau mondial de Cloudflare, l'un des plus vastes au monde, qui couvre près de 20 % d'Internet. Adoptés par des millions d'utilisateurs aux quatre coins d'Internet, nos services nous permettent de disposer d'une visibilité inégalée sur les événements mondiaux, y compris les attaques les plus intéressantes menées sur Internet. Cette position avantageuse permet à Cloudforce One d'exécuter une reconnaissance en temps réel, de perturber les attaques dès leur lancement et de transformer les informations en réussites tactiques.

Profitez des mises à jour de Cloudforce One

S'abonner

Ressources associées

Disrupting FlyingYeti's campaign targeting Ukraine - illustration
Campagne de déstabilisation par FlightYeti visant l'Ukraine

Rapport sur les menaces

Freight fraud surge: global supply chain compromises
Pics de fraude au fret : les compromissions de la chaîne d'approvisionnement mondiale

Vue d'ensemble de la campagne

Impersonation is fooling the enterprise
L'usurpation d'identité pour tromper l'entreprise

Vue d'ensemble de la campagne

Prise en main

Ressources

Solutions

Communauté

Support

Société

© 2025 Cloudflare, Inc.Politique de confidentialitéConditions d’utilisationSignaler des problèmes de sécuritéFiabilité et sécuritéMarque commerciale