Uno sguardo ravvicinato a LameDuck: analisi delle operazioni delle minacce sferrate da Anonymous Sudan

Report sulle minacce - 31 ottobre 2024

Indice

Riepilogo

Chi è LameDuck?

Obiettivi e vittimizzazione di LameDuck

Tattiche e tecniche di LameDuck

Suggerimenti

Prodotti correlati

Protezione da attacchi DDoS

Web Application Firewall

Limitazione della frequenza

CDN

Il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha recentemente aperto un atto d'accusa che delinea gli sforzi per smantellare Anonymous Sudan, un importante gruppo monitorato da Cloudflare come LameDuck, noto per il suo apparente hacktivismo di matrice politica e il significativo coinvolgimento negli attacchi DDoS (Distributed Denial-of-Service). Questa ampia iniziativa mirata a consegnare alla giustizia i membri chiave del gruppo è un passo importante nel miglioramento della sicurezza di Internet ed è stata resa possibile grazie agli sforzi coordinati tra le forze dell'ordine internazionali e le entità del settore privato, tra cui Cloudflare. Sottolinea l'importanza della partnership fra tutte le parti interessate nella lotta contro le minacce informatiche più avanzate di oggi, dimostrando anche il valore che la trasparenza apporta al miglioramento dell'intelligence delle minacce. Pertanto, Cloudflare è desiderosa di condividere approfondimenti dalla nostra esperienza nel monitoraggio e nell'interruzione delle operazioni di LameDuck per rafforzare le tue difese contro minacce simili.

  • Il DOJ ha recentemente aperto un atto d'accusa che rivelava le accuse contro due fratelli sudanesi per aver orchestrato le operazioni DDoS su larga scala di LameDuck da gennaio 2023 a marzo 2024. L'atto d'accusa è stato reso possibile grazie agli sforzi coordinati tra le forze dell'ordine e il settore privato, inclusa Cloudflare

  • LameDuck ha sviluppato e gestito "Skynet Botnet", uno strumento di attacco cloud distribuito, che gli ha consentito di condurre più di 35.000 attacchi DDoS confermati nell'arco di un anno, traendo profitto finanziario dalla vendita dei propri servizi DDoS a forse più di 100 clienti

  • Le operazioni dell'autore di minacce hanno rivelato un'insolita combinazione di motivi insieme a un ampio spettro di settori e governi presi di mira in tutto il mondo

  • Cloudflare ha osservato una correlazione tempestiva tra gli eventi geopolitici e gli attacchi di LameDuck contro obiettivi di alto profilo, allineandosi con un'ideologia anti-occidentale

Chi è LameDuck?

LameDuck è un gruppo di minacce emerso nel gennaio 2023, che si presenta come un collettivo politicamente motivato e filo-islamico anti-occidentale. Il gruppo è noto per aver sferrato migliaia di attacchi DDoS contro un'ampia gamma di obiettivi globali in varie infrastrutture critiche (aeroporti, ospedali, fornitori di telecomunicazioni, banche), fornitori di servizi cloud, assistenza sanitaria, mondo accademico, media e pubbliche amministrazioni.

LameDuck ha guadagnato notorietà amplificando i suoi attacchi sferrati con successo contro organizzazioni ampiamente riconosciute tramite i social media, offrendo al contempo servizi DDoS a pagamento. Le sue operazioni hanno incluso non solo attacchi DDoS su larga scala riusciti, ma anche estorsioni DDoS o DDoS con richiesta di riscatto. L'attenzione del gruppo sul guadagno monetario ha messo in discussione la loro enfasi su una narrativa politica o religiosa, con molte delle sue operazioni che assomigliano più al crimine informatico di natura finanziaria.

Motivi contrastanti

Per aggiungere ulteriore complessità alle motivazioni di questo autore di attacchi, le attività condotte da LameDuck hanno rivelato una combinazione eterogenea di operazioni, in cui sono stati sferrati attacchi di alto profilo contro una serie estremamente diversificata di obiettivi a sostegno autoproclamato di un'insolita combinazione di sentimenti anti-israeliani, a favore della Russia e nazionalisti sudanesi. È possibile, tuttavia, che questi attacchi siano stati semplicemente trainati dalla necessità di rafforzare la propria reputazione e acquisire notorietà. In effetti, LameDuck ha sfruttato appieno la propria presenza sui social media per emettere avvisi pubblici e diffondere la propria narrazione al fine di attirare un'attenzione diffusa.

Attribuzione

L'insolita combinazione di motivazioni di LameDuck, insieme alla retorica religiosa e alle apparenti alleanze con altri gruppi di hacktivisti (ad esempio, la collaborazione con Killnet, Türk Hack Team, SiegedSec e la partecipazione alle campagne di hacktivisti #OpIsreal e #OPAustralia), ha intensificato le speculazioni sulle sue vere origini e obiettivi. Precedenti teorie sull'attribuzione suggerivano che LameDuck fosse un gruppo sponsorizzato dallo stato russo che si mascherava da nazionalisti sudanesi. Tuttavia, l'apertura dell'atto d'accusa del DOJ ha rivelato che le persone che orchestravano le prolifiche e altamente dirompenti operazioni DDoS di LameDuck non erano, in realtà, russe ma riconducibili a due fratelli sudanesi.

Le accuse penali contro i leader sudanesi di LameDuck non escludono necessariamente il possibile coinvolgimento russo nelle operazioni del gruppo. È difficile ignorare le loro ideologie condivise, l'uso della lingua russa e l'inclusione della retorica filo-russa nei messaggi di LameDuck, gli obiettivi in linea con gli interessi russi e il coordinamento del gruppo con collettivi di "hacktivisti" filo-russi come Killnet.

Obiettivi e vittimizzazione di LameDuck

LameDuck spesso conduceva operazioni contro obiettivi importanti e di alto profilo per attirare maggiore attenzione e amplificare l'impatto dei suoi attacchi. I suoi obiettivi coprivano un'ampia gamma geografica, inclusi Stati Uniti, Australia e paesi in Europa, Medio Oriente, Asia meridionale e Africa. Gli obiettivi di LameDuck includevano anche numerosi settori e verticali, con alcuni degli obiettivi più importanti appartenenti ai seguenti:

  • Governo e politica estera

  • Infrastruttura critica

  • Applicazione delle leggi

  • News e media

  • Industria tecnologica

Questo elenco rappresenta solo una parte dei settori presi di mira, sottolineando l'ampia portata dei settori interessati dalle operazioni di LameDuck.

I potenziali motivi per gli obiettivi di LameDuck includono:

  • L'organizzazione o l'entità presa di mira era in opposizione alle convinzioni ideologiche di LameDuck

  • LameDuck potrebbe aver selezionato un'infrastruttura specifica per gli obiettivi a causa del suo potenziale impatto su una base di utenti più ampia, amplificando l'interruzione causata e migliorando la notorietà del gruppo

  • La facilità di sferrare con successo attacchi DDoS su infrastrutture specifiche, a causa di vulnerabilità e/o prassi di sicurezza scadenti

Obiettivi motivati politicamente

Cloudflare ha osservato che un volume sostanziale di obiettivi di LameDuck è in linea con la sua identità autoproclamata di gruppo di "hacktivisti" sudanesi filo-musulmani. In particolare, il conflitto in Sudan e le sue ripercussioni politiche sembrano segnalare un sottoinsieme dei suoi obiettivi. Ad esempio, gli attacchi contro le organizzazioni keniote potrebbero essere spiegati dalle relazioni sempre più tese tra il governo sudanese e il Kenya, culminate con il richiamo del Sudan del suo ambasciatore in Kenya a gennaio. Gli attacchi di matrice politica erano rivolti a società del settore privato come Microsoft e OpenAI, poiché LameDuck ha annunciato l'intenzione di prendere di mira indiscriminatamente le società statunitensi finché il governo degli Stati Uniti avesse continuato a "intervenire negli affari interni sudanesi". Oltre al conflitto, LameDuck ha condotto operazioni che hanno rivelato il sostegno ai sentimenti nazionalisti sudanesi, come il loro prendere di mira gli ISP egiziani, che secondo il suo punto di vista avevano lo scopo di "inviare un messaggio al governo egiziano che dovrebbe ritenere responsabile chiunque insulti i sudanesi sui social media, proprio come facciamo in Sudan a coloro che insultano gli egiziani".

La posizione pro-musulmana di LameDuck ha anche portato a prendere di mira organizzazioni percepite come islamofobe. Ad esempio, l'alto livello di attacchi contro le organizzazioni svedesi è stato considerato come una punizione per i Corani bruciati. Inoltre, dopo aver percepito insulti contro i musulmani in Canada e Germania, LameDuck ha annunciato l'aggiunta di questi paesi al loro elenco di obiettivi.

LameDuck si è anche concentrata ulteriormente sugli obiettivi filo-israeliani dopo l'attacco di Hamas il 7 ottobre 2023 e la successiva azione militare israeliana. Cloudflare ha osservato operazioni diffuse contro organizzazioni israeliane in vari settori, con attacchi nell'ottobre 2023 incentrati, ad esempio, sui principali organi di stampa statunitensi e internazionali che li accusavano di "falsa propaganda". Cloudflare non solo ha osservato e mitigato gli attacchi contro varie organizzazioni, ma è diventata anche uno dei bersagli presi di mira. Lo scorso novembre, LameDuck ha "ufficialmente dichiarato guerra" a Cloudflare, affermando che l'attacco era dovuto al nostro status di azienda americana e all'uso dei nostri servizi per proteggere i siti Web israeliani.

In altri casi, Cloudflare ha osservato che LameDuck prendeva pesantemente l'Ucraina, in particolare le organizzazioni statali o le infrastrutture di trasporto critiche nei Paesi baltici. Queste attività hanno alimentato le speculazioni sul coinvolgimento della Russia nelle operazioni di LameDuck, poiché gli autori di attacchi sudanesi non sono attivi in Ucraina. Tuttavia, gli sviluppi geopolitici in Sudan non si distaccano dalla guerra di aggressione russa in Ucraina, poiché sia le forze russe che quelle ucraine sono state attive in Sudan. Per non parlare del fatto che la scorsa estate la Russia ha spostato il suo sostegno a favore delle forze armate sudanesi ed è stata sanzionata per aver fornito armi al Sudan in cambio dell'accesso a un porto. Sebbene i precedenti malintesi sull'origine del gruppo siano stati dissipati ed è emersa in qualche modo una comprensione delle sue motivazioni contrastanti, i suoi obiettivi e le operazioni disparate che sembrano allinearsi con i sentimenti filo-russi sollevano ancora dubbi su possibili affiliazioni.

Obiettivi dei criminali informatici

Oltre agli obiettivi politicamente motivati di LameDuck, il gruppo si è impegnato in crimini informatici di natura finanziaria, inclusi servizi DDoS a pagamento. Sebbene sia più facile associare gli obiettivi ideologici agli autori di attacchi di LameDuck, l'attribuzione di operazioni motivate da un guadagno finanziario si è spesso rivelata meno chiara. I servizi DDoS su commissione del gruppo rendono difficile differenziare i suoi attacchi da quelli condotti dai suoi clienti. Attraverso l'annullamento dell'atto d'accusa del DOJ, abbiamo appreso che LameDuck aveva più di 100 utenti delle sue capacità DDoS, che sono state sfruttate in attacchi mirati a numerose vittime in tutto il mondo.

LameDuck era anche noto per essere coinvolto in estorsioni DDoS, chiedendo pagamenti da parte delle vittime in cambio dell'interruzione degli attacchi. Come altre operazioni di LameDuck, questi tentativi di estorsione erano diretti a un'ampia gamma di obiettivi. Nel luglio 2023, il gruppo ha attaccato il sito di fanfiction Archive of our own e ha chiesto 30.000 dollari in Bitcoin per ritirare l'attacco. Puntando su un obiettivo molto più grande, LameDuck ha rivendicato nel maggio di quest'anno un attacco all'ISP Zain del Bahrein, affermando pubblicamente: "se volete che ci fermiamo, contattateci su InfraShutdown_bot e possiamo giungere a un accordo". Questo, ovviamente, non era il suo unico obiettivo importante. Il gruppo ha sferrato un'ondata di attacchi DDoS contro Microsoft e poco dopo ha chiesto 1 milione di dollari per interrompere le operazioni e prevenire ulteriori attacchi. Un altro obiettivo di alto profilo includeva Scandinavian Airlines, che ha subito una serie di attacchi, causando l'interruzione di vari servizi online. I tentativi di LameDuck di estorcere alla compagnia aerea sono iniziati con richieste di 3.500 dollari e in seguito sono aumentati fino a raggiungere l'incredibile cifra di 3 milioni di dollari. Che abbiano successo o meno, queste richieste di estorsione sono insolite per un gruppo di hacktivisti autoproclamati ed evidenziano ulteriormente l'uso da parte di LameDuck di tattiche miste e l'apparente bisogno di attenzione.

Tattiche e tecniche di LameDuck

Nel suo primo anno di attività, LameDuck ha condotto più di 35.000 attacchi DDoS confermati sviluppando e utilizzando un potente strumento DDoS noto con diversi nomi, tra cui "Godzilla Botnet", "Skynet Botnet" e "InfraShutdown". Nonostante i suoi numerosi nomi suggeriscano che si tratti di una botnet, lo strumento DDoS sfruttato da LameDuck è in realtà un Distributed Cloud Attack Tool (DCAT), che comprende tre componenti principali:

  1. Un server di comando e controllo (C2)

  2. Server basati su cloud che ricevono comandi dal server C2 e li inoltrano ai resolver proxy aperti

  3. Resolver proxy aperti gestiti da terzi non affiliati, che quindi trasmettono il traffico degli attacchi DDoS agli obiettivi LameDuck

LameDuck ha utilizzato questa infrastruttura di attacchi per travolgere il sito Web e/o l'infrastruttura Web di un'organizzazione vittima con una marea di traffico dannoso. Senza protezioni adeguate, questo traffico può avere un grave impatto, se non ostacolare completamente, la capacità di un sito Web di rispondere a richieste legittime, impedendo agli utenti effettivi di accedervi. Fin dalla sua comparsa all'inizio del 2023, LameDuck ha utilizzato un'ampia gamma di tattiche e tecniche sfruttando le sue capacità DCAT. Diversi modelli identificati includono:

  • Attacchi di livello 7 tramite flooding HTTP. Il tipo di attacco flood che abbiamo rilevato e mitigato era un attacco HTTP GET, in cui l'autore invia migliaia di richieste HTTP GET al server designato da migliaia di indirizzi IP univoci. Il server della vittima viene inondato di richieste e risposte in arrivo, con conseguente Denial of Service per il traffico legittimo. LameDuck era anche noto per sfruttare gli attacchi multi-vettore (ad esempio, una combinazione di percorso diretto basato su TCP e vari vettori di riflessione o amplificazione UDP).

  • Utilizzo di infrastruttura a pagamento. A differenza di molti altri gruppi di attacchi, la ricerca indica che LameDuck non ha utilizzato una botnet di dispositivi personali e IoT compromessi per condurre gli attacchi. Il gruppo ha invece utilizzato un cluster di server noleggiati, che possono generare più traffico dei dispositivi personali, per sferrare gli attacchi. Il fatto che LameDuck avesse le risorse finanziarie per noleggiare questi server era un altro motivo per cui alcuni ricercatori ritenevano che il gruppo non fosse composto da hacktivisti comuni come affermava di essere.

  • Generazione di traffico e anonimato. LameDuck ha utilizzato l'infrastruttura del server cloud pubblico per generare traffico e ha anche sfruttato l'infrastruttura proxy gratuita e aperta per randomizzare e nascondere la fonte degli attacchi. Le prove indicano che il gruppo in alcuni casi ha utilizzato anche proxy a pagamento per oscurare la propria identità.

  • Endpoint ad alto costo. In alcuni casi, le operazioni di LameDuck erano rivolte a endpoint ad alto costo dell'infrastruttura designata (ad esempio, responsabili dell'elaborazione a uso intensivo di risorse). Attaccare questi endpoint è molto più dirompente che eliminare diverse decine di endpoint meno intensivi dal punto di vista computazionale e a basso costo.

  • Periodi di domanda elevata. Per alcuni obiettivi, LameDuck è stato attento a scegliere tempi di attacco che corrispondessero a periodi di forte richiesta per l'obiettivo. Ad esempio, gli attacchi durante i periodi di punta dei consumatori per mirare alla massima interruzione.

  • Approccio Blitz. LameDuck era noto per avviare contemporaneamente una serie di attacchi concentrati su più interfacce dell'infrastruttura di destinazione.

  • Travolgimento dei sottodomini. Un concetto simile alla tecnica di attacco indicata sopra, in cui LameDuck avrebbe preso di mira contemporaneamente numerosi sottodomini del dominio vittima.

  • RPS basso. Le richieste al secondo (RPS) dell'attacco erano relativamente basse nel tentativo di mimetizzarsi con il traffico legittimo ed evitare il rilevamento.

  • Minacce tramite annunci pubblici e propaganda. LameDuck spesso minacciava gli obiettivi prima degli attacchi effettivi e talvolta lanciava minacce che non venivano mai confermate. Le probabili ragioni di questo includevano attirare l'attenzione per le sue motivazioni ideologiche e seminare incertezza tra i potenziali obiettivi.

Suggerimenti

Cloudflare ha difeso con successo numerosi clienti dagli attacchi sferrati da LameDuck, sia quelli condotti direttamente dal gruppo sia quelli sferrati da individui che utilizzano i suoi servizi DDoS a pagamento. È importante notare che le funzionalità DDoS avanzate di LameDuck gli hanno consentito di avere un impatto grave su reti e servizi che non disponevano di protezioni adeguate. Detto questo, tale gruppo è purtroppo solo uno dei tanti a impiegare con successo attacchi DDoS su larga scala, che stanno solo crescendo in termini di dimensioni e sofisticatezza. Le organizzazioni possono proteggersi da attacchi come quelli sferrati da LameDuck e simili avversari avanzati seguendo un insieme standard di best practice di mitigazione degli attacchi DDoS.

  • Utilizza la mitigazione degli attacchi DDoS dedicata e sempre attiva. Un servizio di mitigazione degli attacchi DDoS utilizza un'ampia capacità di larghezza di banda, un'analisi continua del traffico di rete e modifiche dei criteri personalizzabili per assorbire il traffico DDoS e impedire che raggiunga un'infrastruttura mirata. Le organizzazioni devono assicurarsi di disporre protezione da attacchi DDoS per il traffico di livello 7, il traffico di livello 3 e il DNS

  • Utilizza un Web Application Firewall (WAF). Un WAF utilizza criteri personalizzabili per filtrare, ispezionare e bloccare il traffico HTTP dannoso tra le applicazioni Web e Internet

  • Configura la limitazione della frequenza. La limitazione della frequenza limita il volume del traffico di rete in un periodo di tempo specifico, impedendo essenzialmente ai server Web di essere sovraccaricati dalle richieste provenienti da indirizzi IP specifici.

  • Memorizza nella cache il contenuto su una CDN. Una cache memorizza le copie del contenuto richiesto e le serve al posto di un server di origine. Il caching delle risorse su una rete di distribuzione dei contenuti (CDN) può ridurre il carico sui server di un'organizzazione durante un attacco DDoS

  • Stabilisci processi interni per rispondere agli attacchi. Ciò include la comprensione della protezione e delle capacità di sicurezza esistenti, l'identificazione delle superfici d'attacco non necessarie, l'analisi dei log per cercare modelli di attacco e l'attivazione di processi su dove cercare e cosa fare quando inizia un attacco

Scopri di più sulle strategie di mitigazione degli attacchi DDoS.

A proposito di Cloudforce One

La missione di Cloudflare è aiutare a realizzare un Internet migliore. E un Internet migliore può esistere solo con forze del bene che rilevano, interrompono e sminuiscono gli autori di minacce che cercano di erodere la fiducia e piegare Internet per guadagno personale o politico. Entra in Cloudforce One: il team dedicato di Cloudflare di ricercatori sulle minacce di fama mondiale, incaricati di pubblicare intelligence delle minacce per fornire ai team di sicurezza il contesto necessario per prendere decisioni rapide e sicure. Identifichiamo e difendiamo dagli attacchi con informazioni uniche che nessun altro ha.

La base della nostra visibilità è la rete globale di Cloudflare, una delle più grandi al mondo, che comprende circa il 20% di Internet. I nostri servizi sono adottati da milioni di utenti in ogni angolo di Internet, offrendoci una visibilità senza precedenti sugli eventi globali, inclusi gli attacchi più interessanti a Internet. Questo punto di vista consente a Cloudforce One di eseguire ricognizioni in tempo reale, interrompere gli attacchi dal punto di lancio e trasformare l'intelligence in successo tattico.

Ricevi aggiornamenti da Cloudforce One

Iscriviti

Risorse correlate

Disrupting FlyingYeti's campaign targeting Ukraine - illustration
Interruzione della campagna di FlyingYeti rivolta all'Ucraina

Report sulle minacce

Freight fraud surge: global supply chain compromises
Aumento delle frodi sulle merci: compromissioni della supply chain globale

Istantanea della campagna

Impersonation is fooling the enterprise
L'impersonificazione sta ingannando le aziende

Istantanea della campagna

Introduzione

Risorse

Soluzioni

Community

Supporto

Azienda

© 2025 Cloudflare, Inc.Informativa sulla privacyCondizioni per l’utilizzoReport Problemi di sicurezzaAttendibilità e sicurezzaMarchio registrato