Investigando o LameDuck: uma análise das operações de ameaças do Anonymous Sudan

Relatório sobre ameaças - 31 de outubro de 2024

Índice

Sumário executivo

O que é LameDuck?

Segmentação e vitimologia do LameDuck

Táticas e técnicas do LameDuck

Recomendações

Produtos relacionados

Proteção contra DDoS

Firewall de Aplicativos Web

Rate Limiting

CDN

O Departamento de Justiça (DOJ) dos Estados Unidos revelou recentemente um indiciamento que descreve esforços para desmantelar o Anonymous Sudan, um grupo proeminente rastreado pela Cloudflare como LameDuck, conhecido por seu aparente hacktivismo com motivação política e envolvimento significativo em ataques de negação de serviço distribuída (DDoS). Esta ampla iniciativa de levar à justiça os principais membros do grupo é um passo impressionante na melhoria da segurança da internet e foi possível graças a esforços coordenados entre agências internacionais de aplicação da lei e entidades do setor privado, incluindo a Cloudflare. Isso ressalta a importância da parceria entre todas as partes interessadas no combate às ameaças cibernéticas mais avançadas atuais, ao mesmo tempo em que demonstra o valor que a transparência traz para melhorar a inteligência contra ameaças. Assim, a Cloudflare está ansiosa para compartilhar informações de nossa experiência no rastreamento e interrupção de operações do LameDuck para ajudar a reforçar suas defesas contra ameaças semelhantes.


Sumário executivo

  • O DOJ divulgou recentemente um indiciamento revelando acusações contra dois irmãos sudaneses por orquestrar operações de DDoS em larga escala do LameDuck de janeiro de 2023 a março de 2024. O indiciamento foi possível graças a esforços coordenados entre as autoridades policiais e o setor privado, incluindo a Cloudflare

  • O LameDuck desenvolveu e gerenciou a "Skynet Botnet", uma ferramenta de ataque em nuvem distribuído, permitindo que eles realizassem mais de 35 mil ataques DDoS confirmados no período de um ano, enquanto lucravam financeiramente com a venda de seus serviços contra DDoS para possivelmente mais de cem clientes

  • As operações do agente de ameaças revelaram uma combinação incomum de motivos, juntamente com um amplo espectro de setores e governos visados em todo o mundo

  • A Cloudflare observou uma correlação oportuna entre eventos geopolíticos e ataques do LameDuck contra alvos importantes, alinhando-se a uma ideologia antiocidental

O que é LameDuck?

O LameDuck é um grupo de ameaças que surgiu em janeiro de 2023, apresentando-se como um coletivo antiocidental e pró-Islâmico com motivação política. O grupo é conhecido por lançar milhares de ataques DDoS contra uma ampla variedade de alvos globais em infraestruturas críticas (aeroportos, hospitais, fornecedores de telecomunicações, bancos), provedores de nuvem, saúde, universidades, mídia e agências governamentais.

O LameDuck ganhou notoriedade ao ampliar seus ataques bem-sucedidos contra organizações amplamente reconhecidas por meio das mídias sociais, ao mesmo tempo em que oferece serviços de DDoS de aluguel. Suas operações incluem não apenas ataques DDoS em larga escala bem-sucedidos, mas também extorsão por DDoS ou por DDoS com pedido de resgate. O foco do grupo no ganho monetário colocou em questão sua ênfase em uma narrativa política ou religiosa, com muitas de suas operações se assemelhando mais ao crime cibernético com base financeira.

Motivos variados

Para aumentar ainda mais a complexidade dos motivos desse agente, a atividade realizada pelo LameDuck revelou uma combinação de operações diferentes, em que ataques de alto perfil foram lançados contra um conjunto muito diversificado de alvos em apoio autoproclamado a uma estranha mistura de sentimentos nacionalistas anti-israelenses, pró-russos e sudaneses. É possível, no entanto, que esses ataques tenham sido simplesmente motivados pela necessidade de reforçar sua reputação e ganhar notoriedade. Na verdade, o LameDuck aproveitou bastante sua presença nas mídias sociais para emitir avisos públicos e espalhar sua narrativa a fim de a atrair a atenção de todos.

Atribuição

A incomum combinação de motivos do LameDuck, juntamente com sua retórica religiosa e aparentes alianças com outros grupos hacktivistas (por exemplo, colaboração com Killnet, Türk Hack Team, SiegedSec e participação nas campanhas hacktivistas #OpIsreal e #OPAustralia), intensificou a especulação sobre suas verdadeiras origens e objetivos. Histórias anteriores sobre a atribuição sugeriam que o LameDuck era um grupo patrocinado pelo governo russo que se disfarçava como nacionalistas sudaneses. No entanto, a divulgação da denúncia do DOJ revelou que os indivíduos que orquestraram as operações de DDoS prolíficas e altamente disruptivas do LameDuck não eram, de fato, russos, mas dois irmãos sudaneses.

Acusações criminais contra os líderes do LameDuck, baseados no Sudão, não descartam, necessariamente, o possível envolvimento da Rússia nas operações do grupo. É difícil ignorar as ideias compartilhadas, o uso da língua russa e a inclusão de retóricas pró-Rússia nas mensagens do LameDuck, direcionamentos que se alinham aos interesses russos e a coordenação do grupo com coletivos "hacktivistas" pró-Rússia, como o Killnet.

Segmentação e vitimologia do LameDuck

O LameDuck frequentemente realizava operações contra alvos proeminentes e de alto perfil para atrair maior atenção e ampliar o impacto de seus ataques. A segmentação abrangeu uma ampla faixa geográfica, incluindo os Estados Unidos, a Austrália e países da Europa, Oriente Médio, Sul da Ásia e África. Os alvos do LameDuck também abrangeram vários setores e verticais do setor, com alguns dos alvos mais notáveis pertencentes aos seguintes:

  • Governo e política externos

  • Infraestrutura crítica

  • Cumprimento da lei

  • Meios de comunicação

  • Setor de tecnologia

Esta lista representa apenas uma parte dos setores visados, enfatizando o amplo escopo de setores afetados pelas operações do LameDuck.

Os possíveis motivos para a segmentação do LameDuck incluem:

  • A organização ou entidade visada se opôs às crenças ideológicas do LameDuck

  • O LameDuck pode ter selecionado uma infraestrutura específica para a segmentação devido ao seu potencial de impactar uma base maior de usuários, amplificando a interrupção causada e aumentando a notoriedade do grupo

  • A facilidade de executar com sucesso ataques DDoS em infraestruturas específicas, devido a vulnerabilidades e/ou práticas de segurança inadequadas

Segmentação com motivação política

A Cloudflare observou que um volume substancial da segmentação do LameDuck se alinha com sua identidade autoproclamada como um grupo “hacktivista” sudanês pró-muçulmano. Em particular, o conflito no Sudão e suas repercussões políticas parecem informar um subconjunto de seus alvos. Por exemplo, os ataques contra organizações quenianas podem ser explicados pelas relações cada vez mais tensas entre o governo sudanês e o Quênia, que culminou com a retirada do embaixador do Sudão no Quênia em janeiro. Ataques com motivação política foram direcionados a empresas do setor privado como a Microsoft e a OpenAI, já que o LameDuck anunciou planos de visar indiscriminadamente empresas dos EUA enquanto o governo dos EUA continuasse "intervindo em assuntos internos sudaneses". Além do conflito, o LameDuck realizou operações que revelaram apoio aos sentimentos nacionalistas sudaneses, como o ataque aos provedores de internet egípcios, que alegaram ter como objetivo "enviar uma mensagem ao governo egípcio de que eles deveriam responsabilizar qualquer um que insulte o povo sudanês nas redes sociais, assim como fazemos no Sudão com aqueles que insultam os egípcios."

A postura pró-muçulmana do LameDuck também levou a ataques a organizações percebidas como islamofóbicas. Por exemplo, o alto nível de perseguição contra organizações suecas foi considerado punição pela queima de Alcorões. Além disso, após supostos abusos contra os muçulmanos no Canadá e na Alemanha, o LameDuck anunciou a adição desses países à sua lista de alvos.

O LameDuck também colocou foco adicional em alvos pró-Israel após o ataque do Hamas em 7 de outubro de 2023 e a subsequente ação militar israelense. A Cloudflare observou operações generalizadas contra organizações israelenses em vários setores, com ataques em outubro de 2023 focando, por exemplo, em grandes veículos de notícias dos EUA e internacionais, acusando-os de “propaganda falsa”. A Cloudflare não apenas observou e mitigou ataques contra várias organizações, mas também se tornou um alvo. Em novembro passado, o LameDuck “declarou guerra oficialmente” à Cloudflare, afirmando que o ataque se deveu ao nosso status de empresa americana e ao uso de nossos serviços para proteger sites israelenses.

Em outros casos, a Cloudflare observou o LameDuck visando fortemente a Ucrânia, em particular organizações estatais ou infraestruturas críticas de transporte nos países Bálticos. Estas atividades alimentaram especulações sobre o envolvimento russo nas operações do LameDuck, já que os agentes sudaneses não estão ativos na Ucrânia. No entanto, os desenvolvimentos geopolíticos no Sudão não estão isolados da guerra de agressão russa na Ucrânia, já que tanto as forças russas quanto as ucranianas estão ativas no Sudão. Sem mencionar que, no verão passado, a Rússia mudou seu apoio para favorecer as forças armadas sudanesas e foi sancionada por fornecer armas ao Sudão em troca de acesso a um porto. Embora os equívocos anteriores sobre a origem do grupo tenham sido dispersados e uma compreensão de suas motivações confusas tenha surgido, seus alvos e operações diferentes que parecem se alinhar com os sentimentos pró-Rússia ainda levantam questões sobre possíveis afiliações.

Segmentação de criminosos cibernéticos

Além da segmentação politicamente motivada da LameDuck, o grupo se envolveu em crimes cibernéticos com fins financeiros, incluindo serviços de DDoS de aluguel. Embora seja mais fácil associar a segmentação ideologicamente aos agentes do LameDuck, atribuir operações motivadas por ganhos financeiros muitas vezes se mostra menos simples. Os serviços de DDoS de aluguel do grupo tornam difícil diferenciar seus ataques daqueles realizados por seus clientes. Por meio do indiciamento do DoJ, descobrimos que o LameDuck tinha mais de cem usuários de seus recursos de DDoS, que foram aproveitados em ataques direcionados a inúmeras vítimas em todo o mundo.

O LameDuck também era conhecido por se envolver em extorsão por DDoS, exigindo pagamento de suas vítimas em troca de interromper os ataques. Como outras operações do LameDuck, essas tentativas de extorsão foram direcionadas a uma ampla gama de alvos. Em julho de 2023, o grupo atacou nosso próprio site de fanfiction Archive e exigiu US$ 30 mil em Bitcoins para retirar o ataque. Mirando em um alvo muito maior, o LameDuck assumiu o crédito em maio deste ano por um ataque ao provedor de internet Zain do Bahrein, declarando publicamente: “se você quer que paremos, entre em contato conosco em InfraShutdown_bot e podemos fazer um acordo.” Este, claro, não foi o único alvo proeminente. O grupo iniciou uma onda de ataques DDoS contra a Microsoft e logo depois exigiu US$ 1 milhão para interromper sua operação e evitar novos ataques. Outro alvo de alto perfil foi a Scandinavian Airlines, que sofreu uma série de ataques, causando interrupção de vários serviços on-line. As tentativas do LameDuck de extorquir a companhia aérea começaram com exigências de US$ 3.500 e, mais tarde, escalaram para impressionantes US$ 3 milhões. Sejam bem-sucedidas ou não, essas demandas de extorsão são incomuns para um grupo autoproclamado hacktivista e destacam ainda mais o uso de táticas combinadas pelo LameDuck e sua aparente necessidade de atenção.

Táticas e técnicas do LameDuck

Em seu primeiro ano de operação, o LameDuck realizou mais de 35 mil ataques DDoS confirmados, desenvolvendo e empregando uma poderosa ferramenta de DDoS conhecida por vários nomes, incluindo “ Godzilla Botnet”, “Skynet Botnet” e “InfraShutdown”. Apesar de seus muitos nomes sugerirem que se trata de uma botnet, a ferramenta de DDoS utilizada pelo LameDuck é, na verdade, uma ferramenta de ataque distribuído em nuvem (DCAT), que é composta por três componentes principais:

  1. Um servidor de comando e controle (C2)

  2. Servidores baseados em nuvem que recebem comandos do servidor C2 e os encaminham para resolvedores de proxy abertos

  3. Resolvedores de proxy abertos executados por terceiros não afiliados, que então transmitem o tráfego do ataque DDoS para alvos do LameDuck

O LameDuck usou essa infraestrutura de ataque para sobrecarregar o site e/ou infraestrutura web de uma organização vítima com uma inundação de tráfego malicioso. Sem as devidas proteções, esse tráfego pode afetar gravemente, se não impedir completamente, a capacidade de um site de responder a solicitações legítimas, fazendo com que usuários reais não consigam acessá-lo. Desde seu surgimento, no início de 2023, o LameDuck empregou várias táticas e técnicas usando seus recursos de DCAT. Vários padrões identificados incluem:

  • Lançamento de ataques na camada de aplicação via inundação HTTP. O tipo de ataque de inundação que detectamos e mitigamos foi um ataque HTTP GET, em que o invasor envia milhares de solicitações HTTP GET ao servidor visado a partir de milhares de endereços de IP exclusivos. O servidor vítima é inundado com solicitações e respostas recebidas, resultando em negação de serviço para tráfego legítimo. O LameDuck também era conhecido por aproveitar ataques multivetoriais (por exemplo, uma combinação de caminho direto baseado em TCP e vários vetores de reflexão ou amplificação de UDP).

  • Uso de infraestrutura paga. Ao contrário de muitos outros grupos de ataque, as pesquisas indicam que o LameDuck não usa uma botnet de dispositivos pessoais e de IoT comprometidos para realizar ataques. Em vez disso, o grupo usa um cluster de servidores alugados, que podem gerar mais tráfego do que dispositivos pessoais, para lançar ataques. O fato de que o LameDuck tinha recursos financeiros para alugar esses servidores é outro motivo pelo qual alguns pesquisadores acreditam que o grupo não é o hacktivista de base que afirmava ser.

  • Geração de tráfego e anonimato. O LameDuck usou a infraestrutura de servidor de nuvem pública para gerar tráfego e também aproveitou uma infraestrutura de proxy gratuita e aberta para randomizar e ocultar a origem do ataque. As evidências indicam que, em alguns casos, o grupo também usou proxies pagos para ocultar sua identidade.

  • Endpoints de alto custo. Em alguns casos, as operações do LameDuck foram direcionadas a endpoints de alto custo da infraestrutura visada (ou seja, endpoints responsáveis pelo processamento intensivo de recursos). Atacar esses endpoints é muito mais disruptivo do que atingir dezenas de endpoints de baixo custo e com menor intensidade computacional.

  • Períodos de alta demanda. Para alguns alvos, o LameDuck teve o cuidado de escolher momentos de ataques que correspondiam a períodos de alta demanda para o alvo. Por exemplo, ataques durante períodos de pico de consumo para visar a interrupção máxima.

  • Abordagem relâmpago. O LameDuck ficou conhecido por iniciar uma série de ataques concentrados em diversas interfaces de sua infraestrutura visada simultaneamente.

  • Sobrecarga de subdomínios. Um conceito semelhante ao da técnica de ataque acima, na qual o LameDuck visava simultaneamente vários subdomínios do domínio da vítima.

  • Baixas RPS. As solicitações por segundo (RPS) do ataque foram relativamente baixas em uma tentativa de se misturar com o tráfego legítimo e evitar a detecção.

  • Ameaças por meio de anúncios públicos e propaganda. O LameDuck frequentemente ameaçava alvos antes de ataques reais e às vezes fazia ameaças que nunca se concretizavam. Os motivos prováveis para isso incluíam ganhar atenção para seus motivos ideológicos e semear a incerteza entre os alvos em potencial

Recomendações

A Cloudflare já defendeu com sucesso vários clientes contra ataques facilitados pelo LameDuck, sejam aqueles realizados diretamente pelo grupo ou iniciados por indivíduos que utilizam seus serviços de DDoS de aluguel. É importante observar que os recursos avançados de DDoS do LameDuck permitiram que eles impactassem severamente redes e serviços que não tinham proteções adequadas em vigor. Dito isso, infelizmente, esse grupo é apenas um entre muitos que empregam ataques DDoS em larga escala bem-sucedidos, que estão crescendo em tamanho e sofisticação. As organizações podem se proteger de ataques como os lançados pelo LameDuck e adversários avançados semelhantes seguindo um conjunto padrão de práticas recomendadas de mitigação de DDoS .

  • Usar mitigação de DDoS dedicada e sempre ativa. Um serviço de mitigação de DDoS usa uma grande capacidade de largura de banda, análise contínua do tráfego de rede e alterações de política personalizáveis para absorver o tráfego de DDoS e impedir que ele atinja uma infraestrutura visada. As organizações devem garantir que tenham proteção contra DDoS para tráfego da camada de aplicação, tráfego da camada 3 e DNS

  • Usar um firewall de aplicativos web (WAF) . Um WAF usa políticas personalizáveis para filtrar, inspecionar e bloquear o tráfego HTTP malicioso entre aplicativos web e a internet

  • Configurar a limitação de taxa. A limitação de taxa restringe o volume de tráfego de rede em um período de tempo específico, evitando essencialmente que os servidores web sejam sobrecarregados por solicitações de endereços de IP específicos.

  • Armazenar conteúdo em cache em uma CDN. Um cache armazena cópias do conteúdo solicitado e as disponibiliza no lugar de um servidor de origem. Fazer armazenamento em cache de recursos em uma rede de distribuição de conteúdo (CDN) pode reduzir a pressão sobre os servidores de uma organização durante um ataque DDoS

  • Estabelecer processos internos para responder a ataques. Isso inclui entender os recursos e as proteções de segurança existentes, identificar superfícies de ataque desnecessárias, analisar logs para procurar padrões de ataque e ter processos em vigor para onde examinar e o que fazer quando um ataque começar.

Saiba mais detalhes sobre as estratégias de mitigação de DDoS.

Sobre o Cloudforce One

A missão da Cloudflare é ajudar a construir uma internet melhor. E uma internet melhor só pode existir com forças do bem que detectam, interrompem e degradam os agentes de ameaças que buscam corroer a confiança e distorcer a internet para ganhos pessoais ou políticos. Conheça o Cloudforce One, a equipe dedicada da Cloudflare, formada por pesquisadores de ameaças reconhecidos mundialmente, encarregada de publicar inteligência contra ameaças de modo a dotar as equipes de segurança do contexto necessário para tomar decisões rápidas e confiantes. Identificamos e nos defendemos contra ataques com insights únicos que ninguém mais possui.

A base da nossa visibilidade é a rede global da Cloudflare, uma das maiores do mundo, que abrange cerca de 20% da internet. Nossos serviços são adotados por milhões de usuários em todos os cantos da internet, o que nos dá uma visibilidade incomparável dos eventos globais, incluindo os ataques mais interessantes à internet. Esse ponto de vantagem permite que o Cloudforce One execute reconhecimento em tempo real, interrompa ataques a partir do ponto de lançamento e transforme a inteligência em sucesso tático.

Receba atualizações do Cloudforce One

Assine

Recursos relacionados

Disrupting FlyingYeti's campaign targeting Ukraine - illustration
Disrupting FlyingYeti's campaign targeting Ukraine

Relatório sobre ameaças

Freight fraud surge: global supply chain compromises
Freight fraud surge: global supply chain compromises

Instantâneo da campanha

Impersonation is fooling the enterprise
A personificação está enganando a empresa

Instantâneo da campanha

Comece a usar

Recursos

Soluções

Comunidade

Suporte

Empresa

© 2025 Cloudflare, Inc.Política de privacidadeTermos de UsoDenuncie problemas de segurançaConfiança e segurançaMarca registradaImpressum