La collaboration est essentielle pour vaincre les adversaires les plus avancés. Le 16 octobre, le ministère américain de la Justice a annoncé les fruits de cette collaboration dans le cadre d'un effort plus large visant à perturber deux individus fortement impliqués dans le fonctionnement d'Anonymous Sudan. L'un des collaborateurs dans cette affaire vient également de partager l'histoire du groupe d'hacktivistes, ses modes de ciblage, ses motivations et ses activités menaçantes, qui ont abouti à l'inculpation.Les forces de l'ordre collaborent régulièrement avec les leaders de l'industrie de la cybersécurité pour identifier, suivre et stopper les cyber-menaces. Le ministère américain de la justice a rendu public l'acte d'accusation contre deux Soudanais accusés d'avoir orchestré le groupe d'hacktivistes Anonymous Sudan. Cette annonce apporte des preuves solides contre les théories précédentes selon lesquelles le groupe était une façade pour des attaques soutenues par le gouvernement.
Les deux hommes mentionnés dans l'acte d'accusation sont les frères Ahmed Salah Yousif Omer et Alaa Salah Yusuuf Omer. Alors que le frère aîné, Alaa Salah, a développé la chaîne d'outils fonctionnant sur l'infrastructure d'attaque, le frère cadet, Ahmed Salah, est chargé d'organiser les attaques et de maintenir la présence en ligne du groupe en exploitant divers canaux de médias sociaux.
Voici le communiqué du ministère américain de la Justice concernant l'affaire :
Envoyé par Ministère américain de la Justice
Deux ressortissants soudanais inculpés pour leur rôle présumé dans les cyberattaques menées par Anonymous Sudan contre des hôpitaux, des installations gouvernementales et d'autres infrastructures essentielles à Los Angeles et dans le monde entier
Un acte d'accusation du grand jury fédéral dévoilé aujourd'hui accuse deux ressortissants soudanais d'exploiter et de contrôler Anonymous Sudan, un groupe cybercriminel en ligne responsable de dizaines de milliers d'attaques par déni de service distribué (DDoS) contre des infrastructures critiques, des réseaux d'entreprises et des agences gouvernementales aux États-Unis et dans le monde entier.
En mars 2024, en vertu de mandats de saisie autorisés par le tribunal, le bureau du procureur des États-Unis et le FBI ont saisi et mis hors service le puissant outil DDoS d'Anonymous Sudan, que le groupe aurait utilisé pour mener des attaques DDoS et qu'il aurait vendu comme service à d'autres acteurs criminels.
Ahmed Salah Yousif Omer, 22 ans, et Alaa Salah Yusuuf Omer, 27 ans, ont tous deux été inculpés d'un chef d'accusation de complot visant à endommager des ordinateurs protégés. Ahmed Salah a également été inculpé de trois chefs d'accusation pour avoir endommagé des ordinateurs protégés.
"Anonymous Sudan a cherché à maximiser les dégâts et la destruction des gouvernements et des entreprises du monde entier en perpétrant des dizaines de milliers de cyberattaques", a déclaré Martin Estrada, procureur des États-Unis. "Les attaques de ce groupe étaient cruelles et effrontées - les accusés sont allés jusqu'à attaquer des hôpitaux fournissant des soins d'urgence aux patients. Mon bureau s'est engagé à protéger l'infrastructure de notre pays et les personnes qui l'utilisent, et nous tiendrons les cybercriminels responsables des graves préjudices qu'ils causent".
"La saisie par le FBI de ce puissant outil DDoS a permis de mettre hors d'état de nuire la plateforme d'attaque qui a causé des dommages et des perturbations considérables aux infrastructures et aux réseaux essentiels dans le monde entier", a déclaré Rebecca Day, agent spécial responsable du bureau local du FBI à Anchorage. "Grâce à l'ensemble des pouvoirs, des capacités et des partenariats uniques du FBI, il n'y a pas de limite à notre portée lorsqu'il s'agit de lutter contre toutes les formes de cybercriminalité et de défendre la cybersécurité mondiale."
"Ces accusations et les résultats de cette enquête, rendus possibles grâce aux partenariats entre les forces de l'ordre et le secteur privé, ont un impact incommensurable sur la sécurité des réseaux des États-Unis et de leurs alliés, et démontrent la détermination du Defense Criminal Investigative Service (DCIS) à protéger le ministère de la Défense contre les cybermenaces en constante évolution", a déclaré Kenneth A. DeChellis, agent spécial en charge du Cyber Field Office du DCIS. "Les cybercriminels doivent comprendre que s'ils s'en prennent aux combattants américains, ils en subiront les conséquences".
Selon l'acte d'accusation et la plainte pénale également révélés aujourd'hui, depuis le début de l'année 2023, les acteurs soudanais d'Anonymous et leurs clients ont utilisé l'outil Distributed Cloud Attack Tool (DCAT) du groupe pour mener des attaques DDoS destructrices et en revendiquer publiquement la paternité. En l'espace d'un an environ, l'outil DDoS d'Anonymous Sudan a été utilisé pour lancer plus de 35 000 attaques DDoS, dont au moins 70 ont visé des ordinateurs dans la région de Los Angeles.
Parmi les victimes de ces attaques figurent des cibles gouvernementales sensibles et des infrastructures critiques aux États-Unis et dans le monde entier, notamment le ministère de la Justice, le ministère de la Défense, le FBI, le département d'État, le Cedars-Sinai Medical Center à Los Angeles et les sites web gouvernementaux de l'État de l'Alabama. Parmi les victimes figurent également de grandes plateformes technologiques américaines, dont Microsoft Corp. et Riot Games Inc. ainsi que des fournisseurs de services réseau. Ces attaques ont entraîné des pannes de réseau qui ont touché des milliers de clients.
Les attaques DDoS d'Anonymous Sudan, qui ont parfois duré plusieurs jours, ont endommagé les sites web et les réseaux des victimes, les rendant souvent inaccessibles ou inopérants, ce qui a entraîné des dommages importants. Par exemple, les attaques DDoS d'Anonymous Sudan ont bloqué le service des urgences du Cedars-Sinai Medical Center, obligeant les patients à être redirigés vers d'autres établissements médicaux pendant environ huit heures. Les attaques d'Anonymous Sudan ont causé plus de 10 millions de dollars de dommages aux victimes américaines.
La perturbation en mars 2024 de l'outil DCAT d'Anonymous Sudan, appelé diversement Godzilla, Skynet et InfraShutdown, a été réalisée grâce à la saisie de ses principaux composants, autorisée par le tribunal. Plus précisément, les mandats autorisaient la saisie des serveurs informatiques qui lançaient et contrôlaient les attaques DDoS, des serveurs informatiques qui relayaient les commandes d'attaque vers un réseau plus large d'ordinateurs d'attaque, et des comptes contenant le code source des outils DDoS utilisés par Anonymous Sudan.
Ces mesures d'application de la loi ont été prises dans le cadre de l'opération PowerOFF, un effort continu et coordonné entre les agences internationales d'application de la loi visant à démanteler les infrastructures criminelles de DDoS dans le monde entier et à tenir pour responsables les administrateurs et les utilisateurs de ces services illégaux. Akamai SIRT, Amazon Web Services, Cloudflare, Crowdstrike, DigitalOcean, Flashpoint, Google, Microsoft, PayPal, SpyCloud et d'autres entités du secteur privé ont apporté leur aide dans cette affaire.
L'activité d'Anonymous Sudan
Anonymous Sudan, groupe connu pour ses attaques par déni de service distribué (DDoS) à grande échelle, est apparu en janvier 2023. Il s'est rapidement fait connaître en revendiquant la responsabilité d'une série d'attaques très médiatisées. Les activités du groupe étaient de nature inhabituelle, combinant des objectifs politiques avec des attaques contre de grandes entreprises technologiques, plus probablement orientées vers la recherche de l'attention. Cet étrange mélange de motifs, associé à leur position religieuse et à leurs alliances avec des groupes d'hacktivistes russes, a alimenté les spéculations sur leurs véritables origines et objectifs.
Entre janvier 2023 et mars 2024, Anonymous Sudan a mené de nombreuses attaques DDoS contre diverses entités dans le monde entier. Après avoir initialement rejoint une brève campagne d'hacktivisme pro-russe, Anonymous Sudan a mené une série d'attaques DDoS apparemment motivées par la religion et le nationalisme soudanais, y compris des campagnes contre des entités australiennes et d'Europe du Nord.
Le groupe a également été l'un des principaux participants à la campagne hacktiviste annuelle #OpIsraël. Tout au long de ces campagnes, Anonymous Sudan a également démontré sa volonté de collaborer avec d'autres groupes d'hacktivistes tels que Killnet, SiegedSec et Türk Hack Team. L'inactivité observée du groupe depuis mars 2024 correspond au moment où les forces de l'ordre ont pris des mesures à l'encontre de ses membres.
Anonymous Sudan a toujours utilisé les plateformes de médias sociaux, notamment Telegram, pour revendiquer ses attaques. Ils ont généralement publié des messages en arabe, en anglais et en russe, détaillant souvent les entités ciblées et fournissant des liens de "vérification de l'état" pour vérifier les perturbations des sites web. En outre, ils ont utilisé des éléments visuels tels que des images et des vidéos, incorporant parfois des symboles pro-russes ou religieux.
Le groupe a également interagi avec ses partisans sur Telegram, en répondant aux commentaires et en partageant des articles sur ses activités. Cette utilisation stratégique des médias sociaux leur a permis de faire connaître leurs opérations, de gagner en notoriété et de recruter éventuellement d'autres groupes d'hacktivistes pour collaborer.
Il est remarquable que deux individus seulement, avec un investissement relativement faible en temps et en ressources, aient pu créer et maintenir une capacité DDoS suffisamment puissante pour perturber des services en ligne et des sites web majeurs. Leur succès est dû à une combinaison de facteurs : une infrastructure d'attaque sur mesure hébergée sur des serveurs loués avec une large bande passante, des techniques sophistiquées pour contourner les services d'atténuation des attaques DDoS, et la capacité d'identifier et d'exploiter rapidement les points d'extrémité API vulnérables qui, lorsqu'ils sont submergés de requêtes, rendent les services inopérants et perturbent l'accès des utilisateurs.
Les modes de ciblage et les motivations d'Anonymous Sudan
En dehors des cibles très médiatisées du secteur technologique, Anonymous Sudan a fréquemment ciblé des entités des secteurs des télécommunications, de la santé, de l'enseignement, de l'aviation, du gouvernement, des médias et de la finance - y compris souvent des infrastructures critiques telles que des hôpitaux, des aéroports, des banques et des fournisseurs de télécommunications.
Le champ d'action géographique du groupe était vaste, mais il s'agissait le plus souvent de cibler des entités en Israël, aux Émirats arabes unis, en Inde, aux États-Unis, en Australie, en Europe (notamment en Suède, au Danemark, en France et au Royaume-Uni) et dans les pays voisins du Soudan (notamment le Kenya, le Nigeria, l'Égypte, le Tchad, l'Ouganda et Djibouti).
Ce large éventail de cibles reflète certaines des motivations disparates des Anonymous Sudan pour leurs opérations, qui consistent notamment à agir sur des sentiments anti-israéliens, religieux et nationalistes soudanais.
Conclusion
L'acte d'accusation contre les deux frères soudanais à l'origine d'Anonymous Sudan révèle la véritable nature de ce groupe d'hacktivistes. Leurs motivations, bien que souvent masquées par des sentiments religieux ou nationalistes soudanais, étaient principalement motivées par un désir de notoriété et d'attention. Leurs capacités DDoS sophistiquées, combinées à une utilisation stratégique des médias sociaux, leur ont permis de perturber d'importants services en ligne et d'acquérir une large notoriété.
Le cas d'Anonymous Sudan souligne l'importance de s'appuyer sur des renseignements factuels et une analyse rigoureuse pour comprendre les véritables motivations de ces groupes et dissiper toute idée fausse concernant leur affiliation à des acteurs parrainés par l'État. Elle met également en évidence le potentiel de perturbation important que même de petits groupes pleins de ressources peuvent causer dans le paysage numérique.
Source : Acte d'accusation
Et vous ?
Pensez-vous que ces accusations sont crédibles ou pertinentes ? Quel est votre avis sur cette affaire ?Voir aussi :
Les attaques DDoS se multiplient : elles sont motivées par des considérations politiques visant à bloquer les utilisateurs et à provoquer un chaos numérique en ciblant l'infrastructure et les sites web Les DDoS utilisent une nouvelle méthode puissante pour lancer des attaques d'une ampleur inimaginable, l'armement des boîtes intermédiaires pour l'amplification par réflexion TCP Les attaques DDoS ont battu tous les records en 2021 avec une augmentation de 29 %. Le botnet Meris a visé un tiers des personnes interrogées, selon une enquête de Cloudflare