Inside LameDuck: Analyse der Bedrohungsaktivitäten von „Anonymous Sudan“

Inhalt

Kurzfassung

Wer ist LameDuck?

LameDuck: Zielsetzung und Auswahl von Opfern

Die Taktiken und Techniken von LameDuck

Empfehlungen

Verwandte Produkte

DDoS-Schutz

Web Application Firewall

Rate Limiting

CDN

Das US-Justizministerium (DOJ) hat kürzlich eine Klageschrift veröffentlicht, in der die Bemühungen zur Zerschlagung von Anonymous Sudan geschildert werden, einer prominenten Gruppe, die von Cloudflare als LameDuck verfolgt wird und für ihren offensichtlich politisch motivierten Hacktivismus und ihre maßgebliche Beteiligung an Distributed-Denial-of-Service (DDoS)-Angriffen berüchtigt ist. Diese breit angelegte Initiative, mit der die wichtigsten Mitglieder der Gruppe vor Gericht gestellt werden sollen, ist ein beeindruckender Schritt zur Verbesserung der Internetsicherheit und wurde durch koordinierte Bemühungen von internationalen Strafverfolgungsbehörden und privatwirtschaftlichen Akteuren, einschließlich Cloudflare, ermöglicht. Sie unterstreicht die Bedeutung von Partnerschaften zwischen allen Beteiligten im Kampf gegen die ausgefeiltesten Cyberbedrohungen und zeigt gleichzeitig, wie wichtig Transparenz für die Verbesserung von Bedrohungsinformationen ist. Daher sind wir bei Cloudflare bestrebt, unsere Erfahrungen bei der Verfolgung und Unterbrechung von LameDuck-Aktivitäten mit Ihnen zu teilen, um Sie bei der Abwehr ähnlicher Bedrohungen zu unterstützen.

Kurzfassung

• Das DOJ hat vor kurzem eine Anklageschrift gegen zwei sudanesische Brüder veröffentlicht, die für die Organisation der groß angelegten DDoS-Operationen von LameDuck von Januar 2023 bis März 2024 verantwortlich sind. Die Anklageschrift wurde durch koordinierte Bemühungen von Strafverfolgungsbehörden und der Privatwirtschaft, einschließlich Cloudflare, ermöglicht

• LameDuck entwickelte und verwaltete „Skynet Botnet“, ein verteiltes Cloud-Angriffs-Tool, das es ihnen ermöglichte, innerhalb eines Jahres mehr als 35.000 bestätigte DDoS-Angriffe durchzuführen, während sie finanziell vom Verkauf ihrer DDoS-Dienste an möglicherweise mehr als 100 Kunden profitierten

• Die Aktivitäten des Bedrohungsakteurs enthüllten eine ungewöhnliche Kombination von Motiven sowie ein breites Spektrum von Zielbranchen und Regierungen auf der ganzen Welt

• Cloudflare beobachtete eine zeitliche Korrelation zwischen geopolitischen Ereignissen und LameDuck-Angriffen gegen hochrangige Ziele, die einer antiwestlichen Ideologie entsprechen

Wer ist LameDuck?

LameDuck ist eine Bedrohungsgruppe, die im Januar 2023 auftauchte und sich als antiwestliches, pro-islamisches, politisch motiviertes Kollektiv präsentiert. Die Gruppe ist dafür bekannt, dass sie Tausende von DDoS-Angriffen gegen eine Vielzahl globaler Ziele in den Bereichen kritische Infrastrukturen (Flughäfen, Krankenhäuser, Telekommunikationsanbieter, Banken), Cloud-Anbieter, Gesundheitswesen, Hochschulen, Medien und Regierungsbehörden durchgeführt hat.

LameDuck erlangte Berühmtheit, indem sie ihre erfolgreichen Angriffe gegen weithin anerkannte Organisationen über soziale Medien verbreiteten und gleichzeitig DDoS-for-Hire-Dienste anboten. Zu ihren Aktivitäten gehörten nicht nur erfolgreiche groß angelegte DDoS-Angriffe, sondern auch DDoS-Erpressung oder Ransom-DDoS. Der Fokus der Gruppe auf finanziellen Gewinn hat ihre Betonung eines politischen oder religiösen Narrativs in Frage gestellt, wobei viele ihrer Aktivitäten eher der finanziell motivierten Cyberkriminalität ähneln.

Gemischte Motive

Was die Motive dieses Akteurs noch komplexer macht, ist die Tatsache, dass die von LameDuck durchgeführten Aktivitäten eine disparate Mischung von Aktivitäten enthüllten, bei denen öffentlichkeitswirksame Angriffe auf die unterschiedlichsten Ziele durchgeführt wurden, um eine seltsame Mischung aus anti-israelischen, pro-russischen und sudanesischen nationalistischen Gefühlen zu unterstützen. Es ist jedoch möglich, dass diese Angriffe einfach aus dem Bedürfnis heraus erfolgten, ihren Ruf zu stärken und bekannt zu werden. Tatsächlich hat LameDuck seine eigene Social-Media-Präsenz stark genutzt, um öffentliche Warnungen herauszugeben und ihr Narrativ zu verbreiten, um große Aufmerksamkeit zu erregen.

Urheberschaft

Die ungewöhnliche Kombination der Motive von LameDuck, ihre religiöse Rhetorik und ihre offensichtlichen Allianzen mit anderen Hacktivistengruppen (z.B. die Zusammenarbeit mit Killnet, Türk Hack Team, SiegedSec und die Teilnahme an den Hacktivistenkampagnen #OpIsreal und #OPAustralia) führten zu verstärkten Spekulationen über ihre wahren Ursprünge und Ziele. Frühere Theorien zur Urheberschaft legten nahe, dass es sich bei LameDuck um eine vom russischen Staat gesponserte Gruppe handelte, die sich als sudanesische Nationalisten ausgab. Die Enthüllung der Anklageschrift des DOJ hat jedoch gezeigt, dass die Personen, die die produktiven und äußerst störenden DDoS-Operationen von LameDuck orchestrierten, in Wirklichkeit keine Russen waren, sondern zwei sudanesische Brüder.

Die Anklagen gegen die im Sudan ansässigen Anführer von LameDuck schließen eine mögliche russische Beteiligung an den Operationen der Gruppe nicht unbedingt aus. Es ist schwer, die gemeinsamen Ideologien, die Verwendung der russischen Sprache und die Einbeziehung pro-russischer Rhetorik in die LameDuck-Botschaften, die Ausrichtung auf russische Interessen und die Koordination der Gruppe mit pro-russischen „Hacktivisten“-Kollektiven wie Killnet zu ignorieren.

LameDuck: Zielsetzung und Auswahl von Opfern

LameDuck führte häufig Aktivitäten gegen prominente, hochrangige Ziele durch, um mehr Aufmerksamkeit zu erregen und die Wirkung ihrer Angriffe zu verstärken. Ihr Zielgebiet umfasste ein breites geografisches Spektrum, darunter die Vereinigten Staaten, Australien und Länder in Europa, dem Nahen Osten, Südasien und Afrika. Die Angriffsziele von LameDuck umfassten auch zahlreiche Sektoren und Branchen, wobei einige der bekannteren Ziele zu den folgenden gehören:

• Staat und Außenpolitik

• Kritische Infrastruktur

• Strafverfolgungsbehörden

• Nachrichten und Medien

• Tech-Branche

Diese Liste stellt nur einen Teil der Branchen dar, die von LameDuck ins Visier genommen wurden und unterstreicht das breite Spektrum der Branchen, die von LameDuck betroffen sind.

Mögliche Gründe für die von LameDuck angegriffenen Ziele sind:

• Die angegriffene Organisation oder Einrichtung stand in Opposition zu den ideologischen Überzeugungen von LameDuck

• LameDuck hat möglicherweise eine bestimmte Infrastruktur für den Angriff ausgewählt, weil diese das Potenzial hat, eine größere Nutzerbasis zu beeinträchtigen, die verursachte Störung zu verstärken und den Bekanntheitsgrad der Gruppe zu steigern

• Die Leichtigkeit, mit der DDoS-Angriffe auf eine bestimmte Infrastruktur aufgrund von Schwachstellen und/oder schlechten Sicherheitspraktiken erfolgreich ausgeführt werden können

Politisch motivierte Auswahl von Zielen

Cloudflare stellte fest, dass ein beträchtlicher Teil der Angriffe auf LameDuck mit der selbsternannten Identität des Unternehmens als pro-muslimische sudanesische „Hacktivistengruppe“ übereinstimmt. Vor allem der Konflikt im Sudan und seine politischen Auswirkungen scheinen für die Auswahl eines Teils der Angriffsziele relevant zu sein. Die Angriffe auf kenianische Organisationen könnten beispielsweise durch die zunehmend angespannten Beziehungen zwischen der sudanesischen Regierung und Kenia erklärt werden, die ihren Höhepunkt darin fanden, dass der Sudan im Januar seinen Botschafter in Kenia abzog. Politisch motivierte Angriffe richteten sich gegen Unternehmen des privaten Sektors wie Microsoft und OpenAI, als LameDuck Pläne ankündigte, wahllos US-Unternehmen anzugreifen, solange die US-Regierung weiterhin in interne Angelegenheiten des Sudan eingreift. Abgesehen von dem Konflikt führte LameDuck Operationen durch, die die Unterstützung sudanesischer nationalistischer Gefühle verdeutlichten, wie z. B. die Angriffe auf ägyptische ISPs, die angeblich dazu dienten, „der ägyptischen Regierung die Botschaft zu übermitteln, dass sie jeden zur Rechenschaft ziehen sollte, der das sudanesische Volk in den sozialen Medien beleidigt, so wie wir es im Sudan mit denen machen, die Ägypter beleidigen“.

Die pro-muslimische Haltung von LameDuck führte auch dazu, dass Organisationen ins Visier genommen wurden, die als islamfeindlich wahrgenommen wurden. So wurde beispielsweise das hohe Maß an Angriffen auf schwedische Organisationen als Strafe für die Koranverbrennung dargestellt. Außerdem kündigte LameDuck nach vermeintlichen Beleidigungen gegen Muslime in Kanada und Deutschland an, diese Länder auf ihre Zielliste zu setzen.

Nach dem Angriff der Hamas am 7. Oktober 2023 und der anschließenden israelischen Militäraktion hat LameDuck auch pro-israelische Ziele ins Visier genommen. Cloudflare beobachtete weitreichende Aktivitäten gegen israelische Organisationen in verschiedenen Sektoren, wobei sich die Angriffe im Oktober 2023 zum Beispiel auf große US-amerikanische und internationale Nachrichtenmedien konzentrierten, denen die Bedrohungsgruppe „falsche Propaganda“ vorwarf. Cloudflare hat nicht nur Angriffe auf verschiedene Organisationen beobachtet und abgewehrt, sondern wurde auch selbst zur Zielscheibe. Im November letzten Jahres erklärte LameDuck Cloudflare „offiziell den Krieg“ und schrieb, der Angriff sei auf unseren Status als amerikanisches Unternehmen und die Nutzung unserer Dienste zum Schutz israelischer Websites zurückzuführen.

In anderen Fällen beobachtete Cloudflare, dass LameDuck es auf die Ukraine abgesehen hatte, insbesondere auf staatliche Organisationen oder kritische Transportinfrastruktur im Baltikum. Diese Aktivitäten haben Spekulationen über eine russische Beteiligung an den Operationen von LameDuck angeheizt, da sudanesische Akteure nicht in der Ukraine aktiv sind. Die geopolitischen Entwicklungen im Sudan sind jedoch nicht losgelöst vom russischen Angriffskrieg in der Ukraine, da sowohl russische als auch ukrainische Kräfte im Sudan aktiv sind. Ganz zu schweigen davon, dass Russland im vergangenen Sommer seine Unterstützung zugunsten der sudanesischen Streitkräfte verlagert hat und für die Lieferung von Waffen an den Sudan als Gegenleistung für den Zugang zu einem Hafen sanktioniert wurde. Zwar wurden frühere Missverständnisse über die Herkunft der Gruppe ausgeräumt und eine bessere Kenntnis ihrer gemischten Motivationen gewonnen, doch ihre unterschiedlichen Ziele und Aktivitäten, die auf eine pro-russische Gesinnung schließen lassen, werfen immer noch Fragen über mögliche Verbindungen auf.

Auswahl von Angriffszielen wie bei klassischen Cyberkriminellen

Neben den politisch motivierten Angriffen von LameDuck engagierte sich die Gruppe in finanziell motivierter Cyberkriminalität, einschließlich DDoS-for-hire-Diensten. Während es einfacher ist, ideologisch motivierte Angriffe mit LameDuck-Akteuren in Verbindung zu bringen, hat sich die Zuordnung von Aktivitäten, die durch finanziellen Gewinn motiviert sind, oft als weniger eindeutig erwiesen. Weil die Gruppe ihre DDoS-for-Hire-Dienste anbietet, sind ihre Angriffe nur schwer von denen ihrer Kunden zu unterscheiden. Durch die Veröffentlichung der Anklageschrift des DOJ haben wir erfahren, dass LameDuck mehr als 100 Nutzer seiner DDoS-Fähigkeiten hatte, die bei Angriffen auf zahlreiche Opfer weltweit eingesetzt wurden.

LameDuck war auch für DDoS-Erpressung bekannt, bei denen er von seinen Opfern Zahlungen als Gegenleistung für die Beendigung der Angriffe verlangte. Wie andere LameDuck-Aktivitäten richteten sich auch diese Erpressungsversuche gegen ein breites Spektrum von Zielen. Im Juli 2023 griff die Gruppe die Fan-Fiction-Website „Archive of our Own“ an und verlangte 30.000 USD in Bitcoin, um den Angriff abzubrechen. LameDuck nahm ein viel größeres Ziel ins Visier und reklamierte im Mai dieses Jahres einen Angriff auf den bahrainischen ISP Zain für sich, indem man öffentlich erklärte: „Wenn Sie wollen, dass wir aufhören, kontaktieren Sie uns unter InfraShutdown_bot und wir können einen Deal machen.“ Dies war natürlich nicht ihr einziges prominentes Ziel. Die Gruppe initiierte eine Welle von DDoS-Angriffen gegen Microsoft und verlangte kurz darauf 1 Million USD, um die Durchführung einzustellen und weitere Angriffe zu verhindern. Ein weiteres bekanntes Angriffsziel war Scandinavian Airlines, das von einer Reihe von Angriffen betroffen war, die zu Störungen bei verschiedenen Online-Diensten führten. LameDucks Erpressungsversuche gegen die Airline begannen mit Forderungen in Höhe von 3.500 USD, später stiegen sie auf unglaubliche 3 Mio. USD. Ob erfolgreich oder nicht, diese Erpressungsforderungen sind ungewöhnlich für eine selbsternannte Hacktivistengruppe und verdeutlichen weiter die gemischten Taktiken und das offensichtliche Bedürfnis von LameDuck, Aufmerksamkeit zu erregen.

Die Taktiken und Techniken von LameDuck

Im ersten Jahr seiner Tätigkeit führte LameDuck mehr als 35.000 bestätigte DDoS-Angriffe durch, indem es ein leistungsfähiges DDoS-Tool entwickelte und einsetzte, das unter verschiedenen Namen bekannt ist, darunter „Godzilla Botnet“, das „Skynet Botnet“ und „InfraShutdown“. Trotz der vielen Namen, die auf ein Botnet hindeuten, handelt es sich bei dem von LameDuck genutzten DDoS-Tool in Wirklichkeit um ein Distributed Cloud Attack Tool (DCAT), das aus drei Hauptkomponenten besteht:

1. Ein Command-and-Control-Server (C2).

2. Cloudbasierte Server, die Befehle vom C2-Server empfangen und an offene Proxy-Resolver weiterleiten

3. Offene Proxy-Resolver, die von unabhängigen Dritten betrieben werden und dann den DDoS Angriffs-Traffic an LameDuck-Ziele übertragen

LameDuck nutzte diese Angriffsinfrastruktur, um die Website und/oder Webinfrastruktur eines Opfers mit einer Flut von böswilligem Traffic zu überlasten. Ohne angemessenen Schutz kann dieser Traffic die Fähigkeit einer Website, auf legitime Anfragen zu reagieren, erheblich beeinträchtigen, wenn nicht sogar ganz verhindern, sodass die eigentlichen Nutzer keinen Zugriff mehr haben. Seit ihrem Erscheinen Anfang 2023 hat LameDuck eine Vielzahl von Taktiken und Techniken eingesetzt, um ihre DCAT-Fähigkeiten zu nutzen. Unter anderem wurden folgende Muster identifiziert:

• Starten von Layer-7-Angriffen über HTTP-Flooding. Bei der Art von Flood-Angriff, die wir erkannt und bekämpft haben, handelte es sich um einen HTTP-GET-Angriff, bei dem der Angreifer Tausende von HTTP-GET-Anfragen von Tausenden eindeutiger IP-Adressen an den Zielserver sendet. Der Server des Opfers wird mit eintreffenden Anfragen und Antworten überflutet, wodurch ein Denial-of-Service für legitimen Traffic verursacht wird. LameDuck war auch dafür bekannt, Multi-Vektor-Angriffe zu nutzen (z.B. eine Kombination aus TCP-basiertem Direct-Path und verschiedenen UDP-Reflection- oder Amplification-Vektoren).

• Nutzung kostenpflichtiger Infrastruktur. Untersuchungen zufolge hat LameDuck im Gegensatz zu vielen anderen Angreifergruppen kein Botnetz aus infizierten Privat- und IoT-Geräten verwendet. Stattdessen wurde ein Cluster von gemieteten Servern eingesetzt, womit mehr Datenverkehr erzeugt werden kann als mit Privatgeräten. Dass LameDuck über die finanziellen Mittel für die Anmietung dieser Server verfügt, ist für einige Experten ein weiterer Hinweis darauf, dass es sich bei dieser Gruppe – anders als von ihr behauptet – nicht um Hackstivisten handelt.

• Traffic-Generierung und Anonymität. LameDuck nutzte die Infrastruktur von öffentlichen Cloud-Servern, um Traffic zu generieren, und nutzte auch die freie und offene Proxy-Infrastruktur, um die Angriffsquelle zu randomisieren und zu verschleiern. Es gibt Hinweise darauf, dass die Gruppe in einigen Fällen auch bezahlte Stellvertreter eingesetzt hat, um ihre Identität zu verschleiern.

• Kostspielige Endpunkte. In einigen Fällen richteten sich die Aktivitäten von LameDuck gegen wertvolle und kritische Endpunkte der angegriffenen Infrastruktur Endpunkte, die für ressourcenintensive Verarbeitung zuständig sind). Ein Angriff auf diese Endpunkte ist weitaus störender als die Lahmlegung von mehreren Dutzenden weniger rechenintensiven und kostengünstigen Endpunkten.

• Zeiten mit hoher Nachfrage. Bei einigen Zielen hat LameDuck die Angriffszeiten sorgfältig gewählt, sodass sie mit den Zeiten hoher Nachfrage für das Ziel übereinstimmten. Zum Beispiel Angriffe während derer Verbraucher am aktivsten sind, um größtmögliche Störungen zu verursachen.

• Blitz-Ansatz. LameDuck war dafür bekannt, eine Reihe von konzentrierten Angriffen auf mehrere Schnittstellen der Zielinfrastruktur gleichzeitig zu starten.

• Subdomain-Überlastung. Ein ähnliches Konzept wie bei der obigen Angriffstechnik, bei der LameDuck gleichzeitig auf zahlreiche Subdomains der Opferdomain abzielt.

• Niedrige RPS. Die Anfragen pro Sekunde (RPS) des Angriffs waren relativ niedrig, um sich mit dem legitimen Traffic zu vermischen und nicht entdeckt zu werden.

• Drohungen durch öffentliche Ankündigungen und Propaganda. LameDuck spricht vor tatsächlichen Angriffen oft Drohungen aus, die manchmal nicht wahr gemacht werden. Wahrscheinlich geht es der Gruppe hierbei darum, auf ihre ideologischen Motive aufmerksam zu machen und Unsicherheit bei potenziellen Zielen wecken.
  

Empfehlungen

Cloudflare hat zahlreiche Kunden erfolgreich gegen die Angriffe von LameDuck verteidigt, sei es, dass sie direkt von der Gruppe durchgeführt wurden oder dass sie von Einzelpersonen initiiert wurden, die ihre DDoS-for-hire-Dienste nutzen. Es ist wichtig zu wissen, dass die fortschrittlichen DDoS-Fähigkeiten von LameDuck es ihnen ermöglichten, Netzwerke und Dienste, die nicht über angemessenen Schutz verfügten, stark zu beeinträchtigen. Dennoch ist diese Gruppe nur eine von vielen, die erfolgreich groß angelegte DDoS-Angriffe durchführen, die immer umfangreicher und raffinierter werden. Organisationen können sich vor Angriffen wie denen von LameDuck und ähnlich fortschrittlichen Angreifern schützen, indem sie bewährte Standardverfahren zur DDoS-Abwehr befolgen.

• Verwenden Sie einen speziell dafür bestimmten, immer aktiven DDoS-Abwehrdienst. Solche Services greifen auf große Bandbreitenkapazität, die Analyse des Netzwerk-Traffics und anpassbare Richtlinienänderungen zurück, um die anvisierte Infrastruktur vor DDoS-Traffic abzuschirmen. Unternehmen benötigen DDoS-Schutz für Traffic auf Layer 7, Layer 3 und DNS.

• Verwenden Sie eine Web Application Firewall (WAF). Eine WAF filtert, prüft und blockiert mithilfe individuell anpassbarer Richtlinien bösartigen HTTP-Traffic zwischen Webanwendungen und dem Internet.

• Konfigurieren Sie Rate Limiting.Rate Limiting begrenzt den Umfang des Netzwerk-Traffics über einen bestimmten Zeitraum und verhindert im Wesentlichen, dass Webserver mit Anfragen von bestimmten IP-Adressen überschwemmt werden.

• Lassen Sie Inhalte in einem CDN zwischenspeichern. Ein Cache speichert Kopien von angeforderten Inhalten und stellt sie anstelle eines Ursprungsservers bereit. Das Zwischenspeichern von Ressourcen in einem Content Delivery Network (CDN) kann die Belastung der Server eines Unternehmens während eines DDoS-Angriffs verringern.

• Legen Sie interne Verfahren für das Vorgehen im Angriffsfall fest. Das setzt voraus, die vorhandenen Sicherheitsvorkehrungen und -funktionen richtig zu kennen, unnötige Angriffsflächen zu identifizieren und Protokolle auf Angriffsmuster hin zu analysieren. Anhand dessen lassen sich Verfahren entwickeln, damit jeder weiß, was zu tun und worauf zu achten ist, wenn eine Attacke beginnt.

Erfahren Sie mehr über DDoS-Abwehrstrategien

Über Cloudforce One

Cloudflare hat es sich zur Aufgabe gemacht, ein besseres Internet zu schaffen. Dafür müssen Angreifer, die das Vertrauen untergraben und das Internet für persönliche oder politische Zwecke missbrauchen wollen, aufgespürt, bei ihrer Arbeit behindert und geschwächt werden. An dieser Stelle kommt Cloudforce One ins Spiel. Dieses engagierte Team von Cloudflare besteht aus weltweit anerkannten Bedrohungsforschern. Es hat die Aufgabe, IT-Sicherheitsteams Bedrohungsdaten bereitzustellen, anhand derer diese schnell fundierte Entscheidungen treffen können. Uns stehen zur Erkennung und Abwehr von Angriffen einzigartige Erkenntnisse zur Verfügung.

Die Grundlage für diesen großen Wissensschatz bildet das globale Netzwerk von Cloudflare – eines der größten der Welt – das etwa 20 Prozent des Internets abdeckt. Unsere Dienste werden von Millionen von Nutzern in jedem Winkel des Web in Anspruch genommen, was uns einen einzigartigen Einblick in das weltweite Geschehen und damit auch in die interessantesten Angriffe im Internet gibt. Das ermöglicht es Cloudforce One, in Echtzeit Aufklärung zu betreiben, Angreifern frühzeitig das Handwerk zu legen und Wissen in taktische Erfolge umzumünzen.