DDoS saldırısı, hedeflenen bir sunucunun, hizmetin ve ağın normal işleyişini, güvenliği ihlal edilmiş birden fazla cihazdan gelen internet trafiği akışıyla bozmaya yönelik kötü niyetli bir girişimdir.
DDoS saldırıları, hizmet kesintilerine ve önemli ekonomik kayıplara yol açabileceğinden kuruluşlar için önemli tehditler oluşturmaktadır.
Cloudflare Cloudforce One’daki siber güvenlik araştırmacıları yakın zamanda LameDuck’ın Skynet Botnet’inin kuruluşları hedef alan “35.000’den fazla DDoS saldırısı” gerçekleştirdiğini tespit etti.
Ocak 2023’te meydana gelen ilginç gelişmelerden biri de “Anonim Sudan” (diğer adıyla “LameDuck”) olarak bilinen bir tehdit grubunun ortaya çıkmasıydı.
Strategies to Defend Websites & APIs from Malware Attack -> Free Webinar
Bu karmaşık tehdit grubunu Sudanlı iki kardeş yönetiyor. Grup, kuruluşların altyapılarına DDoS saldırıları şeklinde siber saldırılar gerçekleştirerek çeşitli hizmetlerin yasal kullanıcılar için kullanılamaz hale gelmesine neden oldu.
LameDuck’un operasyonları oldukça çeşitliydi ve birçok kıtadaki kritik altyapıları hedef alıyordu. Kritik altyapılar aşağıdaki gibidir: –
- Havalimanları
- Hastaneler
- Telekomünikasyon sağlayıcıları
- Finansal kurumlar
Hedeflenen tehdit aktörlerinin, siyasi hacktivizmi kâr odaklı siber suçlarla birleştiren ikili strateji yaklaşımı kullanılarak gözlemlendiği görüldü.
Temel araçlarından biri, dünya çapında 100’den fazla müşteriye saldırı tesisleri sattıkları “Kiralık DDoS hizmetleri” idi.
Araştırmacılar, fidye amaçlı DDoS de gerçekleştirdiklerini belirterek, saldırılarını durdurmak için Bitcoin ödemeleri (“3.500 $” ile “3 milyon $” arasında değişen) çağrısında bulundular.
Grup, yüksek profilli hedeflere yönelik başarılı saldırılarını güçlendirmek için sosyal medya platformlarını kullanarak önemli bir üne kavuştu.
Ancak bunu diğer hacktivist ‘Killnet’ ve ‘Turk Hack Team’ ile yaptıkları ittifaklar aracılığıyla yapıyorlar.
Aynı zamanda “#OpIsrael” ve “#OPAustralia” gibi koordineli kampanyalara da katılıyorlar ve bu kampanyalar, tüm bu ‘Teknik siber operasyonlar’ ve ‘sosyal mühendislik taktikleri’ üzerindeki kayda değer ustalıklarını gösteriyor.
LameDuck tarafından gelişmiş DCAT kullanılarak başarıyla gerçekleştirilen 35.000’den fazla DDoS saldırısı doğrulandı.
Yanıltıcı bir şekilde şöyle adlandırılmıştı:
- Godzilla Botnet’i
- Skynet Botnet’i
- InfraKapatma
Güvenliği ihlal edilmiş web sitelerine saldırı başlatmak için botnet cihazlarını kullanan geleneksel saldırganların aksine, “LameDuck” bunu yapmak için üç katmanlı bir altyapı kullandı.
Maksimum etki için teknik cephanelikleri, “TCP tabanlı” doğrudan yol saldırıları ve “UDP” yansıma vektörleriyle birleştirilmiş “HTTP GET” akını aracılığıyla “Katman 7 saldırıları” sunuyor.
Grup, “yüksek maliyetli uç noktaları hedefleyerek”, tespitten kaçınmak için düşük RPS oranları uygulayarak ve birden fazla alt alana eşzamanlı “yıldırım saldırıları” yönlendirerek taktiksel gelişmişlik gösterdi.
Gizliliği korumak amacıyla anonimlik için hem ücretsiz hem de ücretli proxy hizmetlerini kullandılar. Sadece bu da değil, aynı zamanda kesintiyi kolaylaştırmak için saldırılarını “kullanımın en yoğun olduğu” dönemlerde stratejik olarak zamanladılar.
Metodolojileri, mağdur kuruluşların web altyapısını büyük trafik hacimleriyle doldurmayı içeriyordu.
“Teknik uzmanlık”, “stratejik planlama” ve “psikolojik savaş”ın birleşimi “LameDuck”ı tipik “hacktivist gruplardan” farklı kılmaktadır.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Tüm trafik katmanları için her zaman açık DDoS azaltmayı etkinleştirin.
- Kötü amaçlı HTTP trafiğini engellemek için WAF kullanın.
- Gelen istekleri kontrol etmek için hız sınırlarını ayarlayın.
- Sunucu yükünü kolaylaştırmak için içeriği bir CDN’de önbelleğe alın.
- Saldırılara yönelik yanıt protokolleri ve günlük analizi oluşturun.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!