LameDuck 소개: Anonymous Sudan의 위협 작전 분석
위협 보고서 - 2024년 10월 31일
미국 법무부(DOJ)에서는 최근 기소장을 공개하여 Cloudflare에서 LameDuck으로 추적하고 있는 유명한 그룹인 Anonymous Sudan을 해체하려는 노력을 개략적으로 설명했습니다. Anonymous Sudan은 정치적 동기의 해커 활동과 분산 서비스 거부(DDoS) 공격에 상당히 연루된 것으로 악명이 높습니다. 이 그룹의 핵심 구성원에게 책임을 묻기 위한 이 광범위한 이니셔티브는 인터넷 보안을 개선하는 데 있어 인상적인 조치이며, Cloudflare를 포함한 국제 법 집행 기관 및 민간 부문 기관 간의 협력을 통해 가능해졌습니다. 이 보고서에서는 오늘날 첨단 사이버 위협에 대응하는 데 있어 모든 이해관계자 간의 파트너십의 중요성을 강조하는 동시에 위협 인텔리전스를 개선하는 데 투명성이 어떤 가치를 제공하는지 보여줍니다. 따라서 Cloudflare에서는 LameDuck 작전을 추적하고 중단시킨 경험에서 얻은 인사이트를 공유하여 유사한 위협에 대한 방어를 강화하는 데 도움을 주고 있습니다.
핵심 요약
DOJ는 최근 수단 형제 2명이 2023년 1월부터 2024년 3월까지 LameDuck의 대규모 DDoS 작전을 조직한 혐의로 기소된 사실을 공개했습니다. 이번 기소는 Cloudflare를 비롯한 법 집행 기관과 민간 업계의 협력을 통해 이루어졌습니다
LameDuck은 분산 클라우드 공격 도구인 'Skynet 봇넷'을 개발하고 관리했으며, 이를 통해 1년 동안 35,000건 이상의 확인된 DDoS 공격을 수행하고 100여 명의 고객에게 DDoS 서비스를 판매하여 재정적 이익을 얻었습니다
위협 행위자의 작전은 전 세계의 다양한 산업과 정부를 표적으로 삼고 있으며 동기가 특이하게 결합되어 있다는 사실을 보여주었습니다
Cloudflare에서는 지정학적 사건과 유명 인물을 겨냥한 LameDuck 공격 간의 시기적 상관관계를 관찰했으며 이는 서방에 대한 반대 이념과 일치합니다
LameDuck이란?
LameDuck은 2023년 1월에 등장한 위협 그룹으로, 정치적 동기를 가진 반서구, 친이슬람 집단이라고 자칭합니다. 이 그룹은 중요 인프라(공항, 병원, 통신 공급자, 은행), 클라우드 공급자, 의료, 학계, 미디어, 정부 기관 등 전 세계의 다양한 표적에 대해 수천 건의 DDoS 공격을 하는 것으로 알려져 있습니다.
LameDuck은 소셜 미디어를 통해 널리 알려진 조직에 대한 성공적인 공격을 확대하고 DDoS 대행 서비스까지 제공하여 악명을 얻었습니다. 이들의 활동에는 성공적인 대규모 DDoS 공격뿐만 아니라 DDoS 갈취 또는 랜섬 DDoS도 포함되었습니다. 금전적 이��득에 초점을 맞춘 이 그룹의 활동 중 상당수가 금전적 목적의 사이버 범죄와 비슷해지면서 정치적 또는 종교적 내러티브에 대한 의문이 제기되고 있습니다.
다양한 동기
LameDuck의 활동은 반이스라엘, 친러시아, 수단 민족주의 정서가 묘하게 혼합된 자칭 지지 세력들이 매우 다양한 표적에 대한 공격을 감행한 이질적인 작전으로 밝혀져 그 동기를 더욱 복잡하게 만들었습니다. 하지만 이러한 공격이 단순히 평판을 높이고 악명을 얻으려는 필요에 따라 수행되었을 수도 있습니다. 실제로 LameDuck은 광범위한 관심을 끌기 위해 자체 소셜 미디어를 적극 활용하여 공개 경고를 발표하고 자신들의 이야기를 퍼뜨렸습니다.
귀속
LameDuck의 특이한 동기 조합, 종교적 수사, 다른 해커 활동가 그룹과의 명백한 동맹(예: Killnet, Türk Hack Team, SiegedSec과의 협업, #OpIsreal 및 #OPAustralia 해커 활동가 캠페인 참여)은 그들의 진정한 기원과 목표가 무엇인지에 대한 추측을 심화시켰습니다. 이전의 귀속 이론에 따르면 LameDuck은 수단 민족주의자로 위장한 러시아 국가의 지원을 받는 단체였습니다. 그러나 DOJ의 기소장 공개로 LameDuck의 대규모의 파괴적인 DDoS 작전을 조직한 개인은 실제로 러시아인이 아니라 수단 형제 두 명이라는 사실이 드러났습니다.
수단에 기반을 둔 LameDuck의 리더들이 기소되었다고 해서, 러시아가 이 그룹에 개입했을 가능성이 반드시 배제되는 것은 아닙니다. 그들의 이념 공유, 러시아어 사용, LameDuck 메시징에 포함된 친러��시아 수사, 러시아의 이익과 일치하는 타겟팅, 그리고 Killnet과 같은 친러시아 '핵티비스트' 집단과의 협력을 무시하기는 어렵습니다.
LameDuck 대상 지정 및 피해자 분석
LameDuck은 더 큰 관심을 끌고 공격의 영향을 증폭시키기 위해 눈에 띄고 세간의 이목을 끄는 표적을 대상으로 작전을 수행하는 경우가 많았습니다. 공격 대상은 미국, 호주, 유럽 국가, 중동, 남아시아, 아프리카 등 지리적 범위가 넓었습니다. LameDuck의 표적은 또한 수많은 부문과 산업 분야에 걸쳐 있었으며, 가장 주목할 만한 표적은 다음과 같습니다.
정부 및 외교 정책
핵심 인프라
법적 대응
뉴스 및 미디어
기술 산업
이 목록은 공격의 대상이 된 산업 중 일부만을 대표하며, LameDuck의 작전으로 영향을 받은 광범위한 분야를 강조합니다.
LameDuck 타겟팅의 잠재적인 이유는 다음과 같습니다.
표적이 된 조직 또는 단체가 LameDuck의 이데올로기적 신념에 반대 입장에 있는 경우
LameDuck은 더 많은 사용자 기반에 영향을 미쳐 혼란을 증폭시키고 그룹의 악명을 높일 수 있는 잠재력 때문에 특정 인프라를 표적으로 삼았을 수 있습니다
취약성 및/또는 열악한 보안 관행으로 인해 특정 인프라에서 DDoS 공격을 쉽게 성공적으로 실행할 수 있음
정치적 동기에서 비롯된 타겟팅
Cloudflare에서는 LameDuck 표적 공격의 상당 부분이 친무슬림 수단 '핵티비스트' 그룹이라는 자칭 정체성과 일치한다는 사실을 발견했습니다. 특히 수단의 분쟁과 그로 인한 정치적 영향은 공격 대상의 일부에 영향을 미치는 것으로 보입니다. 예를 들어, 케냐 조직에 대한 공격은 수단 정부와 케냐 사이의 갈수록 심해지는 긴장된 관계로 설명될 수 있으며, 이는 수단이 1월에 케냐 대사를 소환한 데서 최고조에 이르렀습니다. LameDuck이 미국 정부가 “수단 내정에 개입하는 한” �미국 기업을 무차별적으로 공격할 계획이라고 발표하면서, Microsoft와 OpenAI와 같은 민간 부문 회사를 대상으로 정치적 동기의 공격이 이루어졌습니다. 분쟁 외에도 LameDuck은 수단 민족주의 감정을 지지한다는 것을 드러내는 작전을 수행했습니다. 예를 들어, 이집트 ISP를 표적으로 삼았습니다. 이는 "수단에서 이집트인을 모욕하는 사람에게 하는 것처럼 소셜 미디어에서 수단인을 모욕하는 사람은 누구나 책임을 져야 한다는 메시지를 이집트 정부에 보내기 위한 것"이라고 주장했습니다.
LameDuck의 친무슬림 입장은 이슬람 혐오하는 것으로 인식되는 조직을 표적으로 삼는 결과로 이어지기도 했습니다. 예를 들어, 스웨덴 단체에 대한 높은 수준의 표적 공격은 코란 소각에 대한 처벌이라고 주장했습니다. 또한 캐나다와 독일에서 무슬림에 대한 모욕이 감지되자, LameDuck은 이들 국가를 공격 대상 목록에 추가했다고 발표했습니다.
또한 LameDuck은 2023년 10월 7일 하마스의 공격과 이스라엘의 군사 행동 이후 친이스라엘 표적에 더욱 집중했습니다. Cloudflare에서는 다양한 부문에 걸쳐 이스라엘 조직을 대상으로 한 광범위한 공격을 관찰했으며, 예를 들어 2023년 10월의 주요 미국 및 국제 뉴스 매체에서 '허위 선전'이라고 비난했던 공격이 있었습니다. Cloudflare는 다양한 조직에 대한 공격을 관찰하고 완화했을 뿐만 아니라 그 자체가 표적이 되기도 했습니다. 작년 11월, LameDuck에서는 Cloudflare에 "공식적으로 선전포고"를 했으며, "Cloudflare가 미국 기업이라는 지위에 있고 이스라엘 웹 사이트를 보호하기 위해 Cloudflare의 서비스를 이용했기 때문에 공격을 감행했다"고 밝혔습니다.
Cloudflare에서는 LameDuck이 우크라이나, 특히 국가 기관이나 발트해 지역의 중요 교통 인프라를 집중적으로 겨냥하는 것도 관찰했습니다. 수단 행위자들이 우크라이나에서 활동하지 않기 때문에 이러한 활동 때문에 러시아가 LameDuck의 작전에 개입했다는 추측이 나오고 있습니다. 그러나 수단의 지정학적 사태는 우크라이나에서 일어난 러시아의 침략 전쟁과 분리되어 있지 않습니다. 러시아와 우크라이나 군대가 수단에서 활동하고 있기 때문입니다. 말할 것도 없이, 지난 여름 러시아는 수단 군대에 유리한 방향으로 지원을 전환했고, 항구 접근을 대가로 수단에 무기를 제공한 혐의로 제재를 받은 바 있습니다. 이 단체의 기원에 대한 이전의 오해는 해소되었고 그들의 혼합된 동기에 대한 이해가 어느 정도 형성되었지만, 친러시아 감정과 일치하는 것으로 보이는 그들의 이질적인 타깃과 작전은 여전히 가능한 연관성에 대한 의문을 제기하고 있습니다.
사이버 범죄 타겟팅
정치적인 동기를 가진 LameDuck의 대상 지정 외에도 이 그룹은 금전적 목적으로 DDoS 서비스를 이용하는 등의 사이버 범죄에 연루되었습니다. 이념에 따른 타겟팅을 LameDuck 행위자와 연관시키는 것은 쉽지만, 재정적 이득을 위해 수행된 작전을 귀속시키는 것은 그리 간단하지 않은 것으로 드러났습니다. 이 그룹은 DDoS 대행 서비스를 이용하므로 이들의 공격과 이들의 고객이 수행한 공격을 구분하기가 어렵습니다. DOJ의 기소장 공개를 통해 LameDuck이 DDoS 기능을 100명 이상 사용했으며, 이를 전 세계 수많은 피해자를 표적으로 삼은 공격에 활용했다는 사실을 알게 되었습니다.
LameDuck은 공격을 멈추는 대가로 피해자에게 금전을 요구하는 DDoS 갈취로도 유명했습니다. 다른 LameDuck 작전과 마찬가지로 이러한 갈취 시도도 광범위한 대상을 겨냥했습니다. 2023년 7월, 이 그룹에서는 팬픽션 사이트 Archive of our own을 공격하고 공격을 철회하는 조건으로 3만 달러 상당의 비트코인을 요구했습니다. 훨씬 더 큰 목표를 설정한 LameDuck은 올해 5월 바레인 ISP Zain에 대한 공격을 자기네가 수행했다고 주장하며 공개적으로 "우리가 공격을 멈추길 원한다면 InfraShutdown_bot에 연락하면 거�래할 수 있습니다."라고 말했습니다. 물론 이러한 공격이 눈에 띄는 유일한 표적은 아니었습니다. 이 그룹은 Microsoft를 상대로 DDoS 공격을 감행했고, 얼마 지나지 않아 작전을 중단하고 추가 공격을 예방하는 조건으로 100만 달러를 요구했습니다. 세간의 이목을 끄는 또 다른 표적에는 Scandinavia Airlines 가 포함되어 있으며, 이 항공사는 일련의 공격으로 다양한 온라인 서비스가 중단되었습니다. 항공사를 갈취하려는 LameDuck의 시도는 3,500달러를 요구하면서 시작되었지만, 이후 300만 달러라는 엄청난 금액으로 확대되었습니다. 이러한 갈취 요구는 성공 여부와 관계없이 자칭 핵티비스트 그룹으로서는 이례적인 일이며, LameDuck이 혼합 전술을 사용하고 있어 주의가 필요하다는 점이 더욱 부각됩니다.
LameDuck 전술 및 기법
작전 첫해에 LameDuck은 'Godzilla Botnet', 'Skynet Botnet', 'InfraShutdown' 등 여러 이름으로 알려진 강력한 DDoS 도구를 개발하고 사용하여 35,000건 이상의 확인된 DDoS 공격을 수행했습니다. 봇넷임을 암시하는 여러 이름에도 불구하고, LameDuck에서 활용하는 DDoS 도구는 실제로는 분산 클라우드 공격 도구(DCAT)이며, 세 가지 주요 구성 요소로 구성됩니다.
명령 및 제어(C2) 서버
C2 서버에서 명령을 수신하여 개방형 프록시 확인자로 전달하는 클라우드 기반 서버
제휴하지 않은 타사에서 운영하는 개방형 프록시 확인자를 통해 DDoS 공격 트래픽을 LameDuck 대상으로 전송
LameDuck은 이 공격 인프라를 이용해 악성 트래픽을 폭주시켜 피해자 조직의 웹 사이트 및/또는 웹 인프라를 압도했습니다. 적절한 보호 조치가 없으면 이러한 트래픽은 웹 사이트가 합법적인 요청에 응답하는 능력에 심각하게 영향을 미치거나 완전히 방해하여 실제 사용자가 웹 사이트에 액세스할 수 없게 만들 수 있습니다. LameDuck은 2023년 초에 등장한 이후 DCAT 기능을 사용하여 다양한 전술과 기법을 둥원했습니다. 확인된 몇 가지 패턴은 다음과 같습니다.
HTTP 폭주를 통해 애플리케이션 계층 공격 시작. Cloudflare에서 감지하고 완화한 폭주 공격 유형은 HTTP GET 공격으로, 공격자가 수천 개의 고유 IP 주소에서 대상 서버로 수천 건의 HTTP GET 요청을 전송합니다. 피해를 입는 서버는 들어오는 요청과 응답으로 넘쳐나므로 합법적인 트래픽에 대한 서비스가 거부됩니다. LameDuck은 멀티 벡터 공격(예: TCP 기반 직접 경로와 다양한 UDP 반사 또는 증폭 벡터의 조합)을 활용하는 것으로도 알려져 있습니다.
유료 인프라 사용. 연구에 따르면 다른 많은 공격 그룹과 달리 LameDuck은 손상된 개인 및 IoT 장치의 봇넷을 사용하여 공격을 수행하지 않았던 것으로 나타났습니다. 오히려 이 그룹은 개인 장치보다 더 많은 트래픽을 발생시킬 수 있는 임대 서버 클러스터를 사용하여 공격을 시작했습니다. LameDuck에서 이러한 서버를 임대할 수 있는 재정적 리소스를 가지고 있다는 사실은 일부 연구자들이 Anonymous Sudan이 자칭하듯이 풀뿌리 핵티비스트가 아니라고 생각하는 또 다른 이유입니다.
트래픽 생성 및 익명성. LameDuck은 퍼블릭 클라우드 서버 인프라를 사용하여 트래픽을 생성했으며 무료 오픈 프록시 인프라도 활용하여 공격 출처를 무작위화하고 숨겼습니다. 증거에 따르면 이 그룹에서는 일부 사례에서 유료 프록시를 사용하여 신원을 모호하게 만들기도 했습니다.
비용이 많이 드는 엔드포인트. 경우에 따라 LameDuck 작전은 대상 인프라의 비용이 많이 드는 엔드포인트를 겨냥했습니다(즉, 리소스 집약적인 처리를 담당하는 엔드포인트). 이러한 엔드포인트를 공격하는 것이 컴퓨팅 집약도가 낮은 수십 개의 엔드포인트를 제거하는 것보다 훨씬 더 파괴적입니다.
수요가 많은 기간. 일부 표적의 경우, LameDuck은 표적에 대한 수요가 높은 기간에 해당하는 공격 시간을 신중하게 선택했습니다. 예를 들어, 혼란을 극대화하기 위해 소비자 피크 시간대에 공격을 가할 수 있습니다.
전격 접근 방식. LameDuck은 대상 인프라의 여러 인터페이스에 대해 동시에 일련의 집중 공격을 개시하는 것으로 알려져 있습니다.
하위 도메인 압도. 위의 공격 기법과 유사한 개념으로, LameDuck이 피해자 도메인의 수많은 하위 도메인을 동시에 대상으로 삼습니다.
낮은 RPS. 공격의 초당 요청 수(RPS)는 합법적인 트래픽에 섞여 감지를 피하기 위해 상대적으로 낮았습니다.
공개 발표 및 선전을 통한 위협. LameDuck은 실제 공격에 앞서 표적을 위협하는 경우가 많았으며, 때로는 실제 공격이 이루어지지 않는 위협을 하기도 했습니다. 이데올로기적 동기에 대하여 주목을 받고 잠재적 표적에 불확실성을 심는 것 등이 그 이유일 가능성이 높았습니다.
권장 사항
Cloudflare에서는 LameDuck이 감행한 공격으로부터 수많은 고객을 성공적으로 방어했습니다. 이는 DDoS 공격 그룹이 직접 수행한 공격이든 DDoS 전문 서비스를 이용하는 개인이 시작한 공격이든 마찬가지입니다. LameDuck의 고급 DDoS 기능 덕분에 적절한 보호 조치가 마련되지 않은 네트워크와 서비스에 심각한 영향을 미쳤다는 점에 유의해야 합니다. 하지만 이 그룹은 불행히도 규모와 정교함 면에서 계속 성장하고 있는, 대규모 DDoS 공격을 성공적으로 수행한 많은 조직 중 하나일 뿐입니다. 조직에서는 DDoS 완화 모범 사례 표준 세트를 따르면 LameDuck 및 이와 유사한 고도의 적대 세력이 실행하는 공격과 같은 공격으로부터 자체를 보호할 수 있습니다.
상시 가동되는 전용 DDoS 완화 기능을 사용합니다. DDoS 완화 서비스는 대용량 대역폭, 네트워크 트래픽의 지속적인 분석, 사용자 지정 가능한 정책 변경을 통해 DDoS 트래픽을 흡수�하고 표적 인프라에 도달하지 못하도록 방지합니다. 조직에서는 계층 7 트래픽, 계층 3 트래픽, DNS에 대한 DDoS 방어 기능을 갖추고 있는지 확인해야 합니다
웹 애플리케이션 방화벽(WAF)을 사용합니다. WAF는 사용자 지정 가능한 정책을 사용하여 웹 애플리케이션과 인터넷 간의 악의적 HTTP 트래픽을 필터링, 검사, 차단합니다
레이트 리미팅을 구성합니다. 레이트 리미팅은 특정 기간 동안 네트워크 트래픽의 양을 제한하여 특정 IP 주소의 요청으로 인해 웹 서버가 과부하되는 것을 근본적으로 방지합니다
CDN에 콘텐츠를 캐시합니다. 캐시는 요청된 콘텐츠의 사본을 저장하여 원본 서버 대신 제공합니다. 콘텐츠 전송 네트워크(CDN)에서 리소스를 캐싱하면 DDoS 공격 시 조직의 서버에 가해지는 부담을 줄일 수 있습니다
공격에 대응하기 위한 내부 프로세스를 수립합니다. 여기에는 기존 보안 보호 및 기능에 대한 이해, 불필요한 공격면 식별, 공격 패턴을 찾기 위한 로그 분석, 공격이 시작되면 어디를 살펴보고 무엇을 해야 하는지에 대한 프로세스 마련 등이 포함됩니다
Cloudforce One 소개
Cloudflare의 사명은 더 나은 인터넷 구축을 지원하는 것입니다. 그리고 더 나은 인터넷은 신뢰를 무너뜨리고 개인적 또는 정치적 이득으로 인터넷을 왜곡하려는 위협 행위자를 감지하고, 방해하며, 저지하려는 선의의 단체가 있을 때만 존재할 수 있습니다. 전 세계적으로 유명한 위협 연구자들로 구성된 Cloudflare의 전담 팀인 Cloudforce One은 위협 인텔리전스를 게시하여 보안팀이 안심할 수 있는 결정을 신속하게 내릴 수 있도록 컨텍스트를 제공하는 업무를 맡고 있습니다. Cloudflare에서는 다른 누구도 갖추고 있지 않은 독보적인 인사이트로 공격을 파악하고 방어합니다.
인터넷의 약 20%를 포괄하는 Cloudflare의 전 세계 최대 규모 전역 네트워크가 이러한 가시성의 기반이 됩니다. 인터넷 곳곳에서 수백만 명의 사용자가 Cloudflare의 서비스를 채택하고 있으며, 이를 통해 Cloudflare는 인터넷에 대한 가장 흥미있는 공격을 비롯하여 글로벌 이벤트에 대한 독보적인 가시성을 제공받고 있습니다. 이러한 유리한 위치에서 Cloudforce One은 �실시간 정찰 활동을 수행하고, 공격 시작 시점에 공격을 방어하며, 인텔리전스를 전술적 성공으로 전환할 수 있습니다.
