Em 20 de maio de 2023, CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu uma postagem feita pelo grupo hacktivista “Mysterious Team Bangladesh” alegando ter conduzido um ataque DDoS em vários sites do governo dos Emirados Árabes Unidos. Para estabelecer provas da realização de um ataque DDoS bem-sucedido, as evidências foram compartilhadas junto com a postagem do ator no Telegram. Os atores compartilharam links para Check-host.net, um utilitário da web que fornece informações em tempo real sobre se um domínio ou endereço IP está disponível e é responsivo, sempre que um usuário tenta acessá-lo. (Consulte o Apêndice para obter mais detalhes)

‍

O grupo é conhecido por usar ataques DDOS para prejudicar organizações de renome e infraestrutura governamental.
‍

O 'Anonymous Sudan' e outros notáveis grupos hacktivistas que visam os Emirados Árabes Unidos são motivados geograficamente devido a preocupações políticas em torno do conflito no Sudão e ao suposto envolvimento dos Emirados Árabes Unidos. Os grupos apresentam semelhanças nos padrões de segmentação e no foco geográfico.

‍

‍

Para observar:
Com base em observações anteriores, os grupos hacktivistas foram vistos atacando repetidamente o mesmo conjunto de entidades governamentais, bancárias, fintech, etc., considerando seu sucesso pelas primeiras vezes. Além disso, isso é feito em grande parte para manter a tração de suas campanhas e obter publicidade.

‍

Informações do Post

Os sites visados pelo grupo hacktivista neste incidente são:

Sites governamentais alvo do ataque DDoS

Ministério da Defesa: Portal Oficial do Governo

Ministério da Energia e Infraestrutura: Ministério da Saúde e Prevenção

Informações e mitigação de ataques de DDoS

Esses grupos não usam ataques sofisticados, eles são conhecidos principalmente por DDOS e varredura em massa em busca de informações confidenciais, como backups e arquivos SQL que estão expostos. Com base na análise da atividade do serviço e do canal Telegram, descobrimos as metodologias que o grupo usa para realizar ataques de DDoS ou DOS da seguinte forma:

‍

Perfil do ator ameaçador: Equipe misteriosa, também conhecida como Misterious_Team

‍

‍

‍Novos TTPs para o grupo

Depois de rastrear o grupo por algum tempo, obtivemos informações sobre o novo conjunto de ferramentas que eles começaram a usar, incluindo:

• Kit de ferramentas Raven-Storm: É uma ferramenta baseada em Python que pode ser usada para ataques DDoS de várias camadas. O kit de ferramentas suporta ataques DDoS L3 (ping), L4 (serviços UDP/TCP) e L7 (sites). A ferramenta também suporta um modo de servidor que conecta várias instâncias de raven-storm e cria uma pequena botnet. Uma análise detalhada do conjunto de ferramentas pode ser encontrada em um artigo anterior blog.
• Xerxes: Um programa C simples que foi usado por 'Bobo da corte'ao DDoS do WikiLeaks e, desde então, ganhou popularidade. A estrutura funciona mantendo uma conexão TCP completa. Depois de fazer uma conexão TCP completa, são necessárias apenas algumas centenas de solicitações a longo prazo em intervalos regulares.
• Hulk: Outro programa baseado em Python (agora reescrito em GO) que significa 'HTTP-unbearable-load-king' é outra ferramenta de DDoS. Essa ferramenta utiliza as rotinas GO leves para iniciar um grande número de pools de conexão.

‍

TTPs anteriores para o grupo

O grupo pode ser atribuído ao abuso do método de ataque HTTP Flooding e ao DDoS utilizando vários scripts para ataques de DDoS, semelhantes ao TTP do grupo DragonForce.

• Uma ferramenta chamada “./404found.my” poderia ter sido usada para conduzir os ataques aos sites mencionados, com base nos dados atuais disponíveis. A mesma ferramenta foi usada e abusada pelo grupo DragonForce para atingir o site de veteranos do Exército Indiano, o site do BJP e muito mais no passado.
• Mais detalhes e análises adicionais da ferramenta foram conduzidos no relatório TTP do Grupo DragonForce.

‍

Impacto e mitigação

Impacto

• O DDoS pode deixar os sites mais vulneráveis, pois alguns recursos de segurança podem estar off-line devido ao ataque.
• A infraestrutura danificada pode causar o colapso dos serviços fornecidos pelo site.
• Os sites se tornam vulneráveis a novos ataques.
• Discrepâncias entre usuários que acessam sites e recursos afetados

Mitigação

‍

• Implante balanceadores de carga para distribuir o tráfego.
• Habilite mecanismos de limitação de taxa.
• Configure firewalls e roteadores para filtrar e bloquear o tráfego.
• Utilize redes de entrega de conteúdo (CDNs) para distribuir o tráfego.
• Implemente tecnologias e algoritmos de detecção de bots para identificar solicitações web em grande escala de botnets empregadas por atores para realizar ataques de DDOS

‍

Referências

• ^#Protocolo de semáforo - Wikipedia
• https://cloudsek.com/threatintelligence/raven-storm-the-multi-threading-tool-employed-by-hacktivists-for-ddos-attacks

‍

Apêndice

‍

‍

‍