DDoS napad je maliciozni pokušaj da se poremeti normalno funkcionisanje ciljanog servera, servisa i mreže s poplavom internet prometa s više narušenih uređaja.
DDoS napadi predstavljaju značajnu prijetnju organizacijama, jer mogu dovesti do prekida usluga i značajnih ekonomskih gubitaka.
Istraživači kibernetičke sigurnosti u Cloudflare-ovom Cloudforce One-u nedavno su otkrili da je LameDuck-ov Skynet botnet izveo više od “35.000 DDoS napada” usmjerenih na organizacije.
U januaru 2023. jedan od zanimljivih događaja koji se dogodio je pojava grupe prijetnji poznate kao “Anonimni Sudan” (aka “LameDuck”).
Dva brata iz Sudana upravljaju ovom sofisticiranom grupom prijetnji. Grupa je vršila sajber napade na infrastrukturu organizacija u vidu DDoS napada , zbog čega su razne usluge bile beskorisne za legalne korisnike.
LameDuck-ove operacije bile su izrazito raznolike i usmjerene na kritičnu infrastrukturu na više kontinenata. Kritične infrastrukture su:-
- Aerodromi
- Bolnice
- Telekomunikacioni provajderi
- Finansijske institucije
Uočeni su hakeri koji koriste pristup dvostruke strategije koji uključuje politički haktivizam i sajber kriminal vođen profitom.
Jedan od njihovih osnovnih alata bio je ” DDoS-za-najam usluge “, gdje su prodavali objekte za napad za više od 100 kupaca širom svijeta.
Istraživači su primijetili da su također izvršili DDoS otkupninu i pozvali na plaćanje bitkoinima (u rasponu između “3.500 dolara” i “3 miliona dolara”) kako bi zaustavili njihove napade.
Grupa je stekla značajnu slavu koristeći platforme društvenih medija da ojača svoje uspješne napade na mete visokog profila.
Međutim, oni to rade kroz saveze koje imaju sa drugim haktivistima ‘Killnet’ i ‘Turk Hack Team’.
Oni također učestvuju u koordinisanim kampanjama kao što su „#OpIsrael“ i „#OPAustralia“ koje pokazuju njihovo značajno ovladavanje ovim cijelim „tehničkim sajber operacijama“ kao i „taktikama društvenog inženjeringa“.
Potvrđeno je više od 35.000 DDoS napada koje je LameDuck uspješno izveo koristeći svoj napredni DCAT.
Pogrešno je nazvano:-
- Godzilla Botnet
- Skynet Botnet
- InfraShutdown
Za razliku od tradicionalnih napadača koji koriste botnet uređaje za pokretanje napada na narušene web stranice, “LameDuck” je za to koristio troslojnu infrastrukturu.
Za maksimalni učinak, njihov tehnički arsenal nudi „napade sloja 7“ preko „HTTP GET“ floodinga u kombinaciji sa „ TCP-baziranim “ direktnim napadima i „UDP“ vektorima refleksije.
Ciljanjem “skupih krajnjih tačaka”, primjenom niskih RPS stopa kako bi se izbjeglo otkrivanje i usmjeravanjem simultanih “blitz napada” na više poddomena, grupa je pokazala taktičku sofisticiranost.
Koristili su i besplatne i plaćene proxy usluge za anonimnost kako bi održali skrivenost. I ne samo to, već su i strateški tempirali svoje napade tokom perioda „vršne upotrebe“ kako bi olakšali prekid.
Njihova metodologija uključivala je preplavljivanje web infrastrukture organizacija žrtava ogromnim prometom.
Kombinacija “tehničke ekspertize”, “strateškog planiranja” i “psihološkog ratovanja” čini “LameDuck” drugačijim od tipičnih “haktivističkih grupa”.
Preporuke
U nastavku smo naveli sve preporuke:-
- Omogućite uvijek uključeno ublažavanje DDoS-a za sve slojeve prometa.
- Koristite WAF za blokiranje malicioznog HTTP prometa.
- Postavite ograničenja brzine za kontrolu dolaznih zahtjeva.
- Keširajte sadržaj na CDN da biste olakšali opterećenje servera.
- Uspostavite protokole odgovora i analizu dnevnika za napade.
Izvor: CyberSecurityNews