Хакери атакуваха Microsoft заради Судан - според експерти зад нападението стои Русия

Говорител на Anonymous Sudan отрича за Bloomberg News, че групата е действала от името на Русия, но не отрече, че интересите им се припокриват.

19:32 | 3 юли 2023
Автор: Джордан Робъртсън Райън Галагър
Снимка: Bloomberg L.P.
Снимка: Bloomberg L.P.

Хакерската група, виновна за серията от прекъсвания на услугите на Microsoft Corp през юни, е свързана с Русия, смятат експерти по киберсигурност. В предходните месеи тя е извършила серия от нападения срещу цели в Израел, Швеция и други държави.

„Anonymous Sudan“ описва себе си като групa от хакери активисти, които извършват кибернападения от територията на Африка от името на потиснатите мюсюлмани по цял свят. Групата претендира, че за атаките си за отказ на услуга (DDoS) срещу Microsoft на 5 юни са с цел отмъщение заради политиката на САЩ спрямо военния конфликт в Судан. В момента САЩ се опитват да посредничат за сключване на  мирно споразумение между воюващите страни.


Някои експерти по киберсигурност са стигнали до заключението, че групата всъщност оперира от Русия и целта на хакерските ѝ атаки са други: да постигнат целите на Москва.

„Anonymous Sudan е руска информационна операция, целяща да използва ислямските си връзки, за да защитава за по-тесните отношения на Русия и Ислямския свят – като винаги набляга на това, че Русия е приятел на мюсюлманите“ казва Матиас Вьолен, експерт по заплахите от Trusec със седалище в Стокхолм. „Това ги прави полезен посредник“.

Вьолен е водил разследването на Anonymous Sudan за Trusec и заключенията на компанията във февруарския ѝ доклад показват, че групата извършва незаконна дейност от името на Русия. Оценката e подкрепена от други специалисти по сигурността, които разучавали групата и нейните дейности. В кратката си неколкомесечна активност Anonymous Sudan неведнъж е използвала кибератаките, за да наложи определена гледна точка: Западът е неприветлив към исляма, докато Москва е приятел на мюсюлманския свят, казва той.

Говорител на Anonymous Sudan отрича за Bloomberg News, че групата е действала от името на Русия, но не отрече, че интересите им се припокриват. Anonymous Sudan действа срещу „всичко, което е враждебно към исляма и че всички страни, които са враждебни към исляма са враждебни към Русия,“пише говорителя на Anonymous Sudan в онлайн разговор.

Миналия уикенд, след като бунтът в Русия от лидера на "Вагнер" предизвика президента Владимир Путин, Anonymous Sudan изяви подкрепата си към Кремлин.

„Руската армия трябва да потуши този бунт“ пише групата.

В блог публикация, Microsoft заявява, че в началото на юни е идентифицирала “скокове в трафика срещу някои услуги и временно въздействало на достъпността.“ DDoS атаките насочват излишен интернет трафик към мишена като уебсайт или сървър, като временно влошават услугата му или го изваждат от строя.

Вълната от кибернападения насочена към Microsoft причинила временни принудителни спирания за някои от най-използваните им услуги като Outlook, Teams и OneDrive, е е била координирана с увеличените нападения от страна на Русия към Украйна, забелязват експерти по сигурността. Това потвърждава мнението на експерти, че това е тенденция в кибератаките на Anonymous Sudan – да се синхронизират с геополитически схватки в страни, обединени срещу Русия, за да получат по-голяма публичност на своите антизападни послания.

Microsoft казва , че групата „изглежда, по-фокусирана върху безредие и публичност“.

 Сандра Барoта Елвин, секретар по национална сигурност за Microsoft в Швеция, където дейността на Anonymous Sudan започна по-рано тази година, публикува съобщение в нейния профил в LinkedIn на 19 юни, че двете седмици преди са били „много напечени“ като кибератаките са започнали в Украйна и срещу платформите на Microsoft, затруднявайки способността на компанията да различава легитимния и злонамерения трафик към най-популярните услуги.

„Това е игра на котка и мишка за постоянно намиране на нови модели на действие и нови инфраструктури, използвани за такъв тип атаки,“  казва тя.

Една от причините за ефективността на акциите на Anonymous Sudan е, че те са насочени към "слой 7" или приложния слой на интернет инфраструктурата на жертвите - това е мястото, където уеб сървърите получават входящи данни от потребителите и в резултат на процес изисква голяма изчислителна мощност, предоставят съдържание в отговор, според Шарл ван дер Валт, ръководител на изследванията в областта на киберсигурността в Orange Cyberdefense, част от френския телеком Orange SA.

Когато се изпълняват умело, тези DDoS атаки водят до невъзможност уеб сървърите да различават истинските от фалшивите заявки, казва той. Атаките изискват повече работа от хакерите, но те могат да имат по-голяма възнаграждение от обикновените атаки за отказ на услуга, които се блокират по-лесно, казва той.

Anonymous Sudan имат "техническите познания за това как да извършат такава нетривиална атака и изглежда знаят как да бъдат ефективни срещу един от най-големите гиганти в облачната инфраструктура като Microsoft", казва Ван дер Валт. "От техническа гледна точка нападателите са или добри, или имат достъп до ресурси, които могат да пренасочат да действат от тяхно име. Това ги поставя в една лига над средния хакерски колектив".

Anonymous Sudan се появи през февруари с акция срещу Швеция. Дигиталната атака е нарушила онлайн програмата на националната обществена телевизия на Швеция и е блокирала уебсайтовете на авиокомпанията SAS AB, държавната енергийна компания Vattenfall AB и отбранителната фирма Saab AB.

Групата заявява, че ударите са в отговор на изгарянето на Корана пред турското посолство в Стокхолм по-рано тази година. Някои изследователи обаче смятат, че мотивът им е бил да засилят напрежението сред мюсюлманското малцинство в Швеция и да окажат натиск върху Турция да отхвърли твърдо кандидатурата на Швеция за присъединяване към военния съюз на НАТО.

След като кандидатурата на Швеция за членство в НАТО е спряна, "Anonymous Sudan" насочва вниманието си към Израел.

На 4 април Anonymous Sudan е обявил, че атакува израелската фирма за киберсигурност Check Point Software Technologies Ltd., а на следващия ден е обещал да "засили значително" ударите си срещу Израел като цяло. Групата заявява, че атакува в подкрепа на палестинците след сблъсъците между полицията и поклонниците в джамията Ал-Акса в Йерусалим.

Нападенията са продължили, след като се появат съобщения, че Израел, който официално е неутрален във войната в Украйна, е доставил на Украйна модерни радари и друго военно оборудване.

Anonymous Sudan са извършили стотици атаки за период от шест седмици, които са били насочени към уебсайтове, използвани от новинарски организации, правителствени и военни агенции, университети, банки, доставчици на телекомуникационни услуги, технологични компании и системи за предупреждение, които издават електронни Израел редовно се сблъсква с кибератаки от самопровъзгласили се групи хактивисти. Но кибернападенията на Anonymous Sudan се открояват - и се оказват по-разрушителни, защото са много по-силни от всичко, което е идвало преди това, казва Месинг.

При една такава атака в Израел например групата е извършила нападение за отказ на услуга, която е заляла уебсайт с 35 милиона заявки в секунда и го е извадила от строя за половин час - казва Месинг. Според фирмата за киберсигурност Imperva средната атака за отказ на услуга обикновено достига само до около 240 000 заявки в секунда.

"Умножете силите, които те използват за DDoS, поне десет пъти, а понякога и повече, от обичайните DDoS, които могат да се наблюдават от други кибергрупи", казва Месинг. "Инструментите не са изключително сложни или скъпи. Но те не се използват много широко."

Според фирмата за киберсигурност Cloudflare Inc. масивната вълна от удари, предприети от Anonymous Sudan  срещу Израел, е довела до това, че през първото тримесечие на тази година страната е била подложена на повече атаки за отказ на услуга от всяка друга държава.

Anonymous Sudan обещава да продължи. Наскоро тя се обедини с две известни хакерски групи: Killnet, която е извършвала DDoS атаки, свързани с руските интереси, и свързаната с Русия група за откуп REvil. Заедно те са обещали големи кибератаки срещу европейски банки в отговор на продължаващата подкрепа за Украйна. Една от жертвите е Европейската инвестиционна банка, чийто уебсайт беше нападнат на 19 юни.

 Барута Елвин, изпълнителен директор на Майкрософт в Швеция, заяви, че една от поуките от кибератаките през последните седмици, извършени от свързаните с Русия групи, е, че с разгара на войната в Украйна ще се увеличат и кибератаките срещу съюзниците на тази страна.

"Всеки, които подкрепя Украйна, е подложен на атаки, а през последните дни европейските банки са избрани за мишена", пише в публикацията си Барута Елвин. "С други думи, има голям риск това да не е последният материал, посветен на тази заплаха през лятото."