Группа хактивистов «Анонимный Судан» — «медведь в волчьей шкуре»

Группа хактивистов с псевдонимом Анонимный Судан По словам исследователей CyberCX, это небольшая финансируемая Россией операция по дезинформации, не имеющая отношения к Судану.

Основанная в начале этого года организация «Анонимный Судан» взяла на себя ответственность за ряд распределенных атак типа «отказ в обслуживании» (DDoS), предположительно совершенных в ответ на антиисламские взгляды или действия западных организаций.

Но в разведданные опубликованы в понедельникАвстралийская компания по кибербезопасности CyberCX заявила, что Anonymous Sudan была создана для создания «дымовой завесы для российских интересов» путем распространения пропаганды и дезинформации, а также связывания западных ресурсов киберзащиты.

Как член пророссийской KillNet Коллектив хактивистов Anonymous Судан следовал плану KillNet: делал все возможное, чтобы добиться огласки, часто преувеличивая успех своих атак, чтобы «создать общественный хаос и неопределенность», согласно отчету CyberCX. Медведь в волчьей шкуре.

У киберпреступников нет чести: группа — это не то, чем кажется

Проанализировав серию DDoS-атак на австралийские организации, ответственность за которые, по утверждениям Anonymous Sudan, несет, CyberCX пришла к выводу, что группа широко использовала платные прокси-серверы и вышестоящую облачную инфраструктуру.

«Учитывая вероятное использование платной инфраструктуры с января 2023 года, Anonymous Sudan, вероятно, потратила десятки тысяч долларов на поддержку своих операций DDoS. Мы считаем, что активное использование платной инфраструктуры крайне подозрительно для любой идеологически мотивированной группы», — говорится в отчете.

«Вероятные затраты Anonymous на инфраструктуру в Судане вызывают особое подозрение у группы, утверждающей, что она происходит из Судана, страны с предполагаемым средним доходом домохозяйства в мире, составляющим 460 долларов США в год».

Группа последовательно планировала свои атаки на определенное время дня и действовала «с уровнем координации, необычным для коллектива хактивистов, мотивированных проблемой».

«Большинство аутентичных массовых хактивистских организаций, наблюдаемых CyberCX, планируют свою деятельность как минимум полупублично, обсуждая нацеливание и координацию операций на форумах и в групповых чатах. Анонимный Судан объявляет конкретные цели во время атаки, подразумевая, что это закрытая операция».

В интервью директор CyberCX по киберразведке и общественной политике Кэтрин Манстед сказала SC Media, что Anonymous Sudan представляет собой необычную угрозу, поскольку не соответствует шаблону типичного злоумышленника.

«Когда мы думаем о киберпреступности, мы ожидаем монетизации. Когда мы думаем о национальных государствах, мы ожидаем увидеть четкий командный и контрольный сигнал от иностранного правительства», — сказала она.

«Это находится прямо посередине, потому что это не преступление и не явное национальное государство, и это оставляет защитников врасплох, потому что они думают, что защищают от довольно низкого уровня, идеологически мотивированного актера. Это также потенциально может застать правительства в слепой зоне, потому что у них нет плана действий для реагирования на это ».

Дорогостоящая австралийская кампания Anonymous Судана

CyberCX расследовал причастность Anonymous Sudаn к более широкой кампании хактивистов в марте, когда группа заявила, что провела DDoS-атаки по меньшей мере на 24 австралийские организации после «провокационного акта против чувств мусульман».

Кампания была инициирована якобы пакистанской группой хактивистов в ответ на критику в отношении одежды с арабским текстом «Бог идет со мной», демонстрируемой на фестивале моды в Мельбурне, Австралия.

Расследование CyberCX показало, что, в отличие от большинства массовых коллективов хактивистов, Anonymous Sudana может позволить себе использовать платные прокси-сервисы для проведения своих атак.

“[Anonymous Sudan’s attack] был одним из самых интенсивных DDoS-активностей, которые мы видели в течение длительного времени, и для некоторых пострадавших организаций — мы говорим о зрелых поставщиках критической инфраструктуры — это был один из самых, если не самый значительный DDoS, который их организация испытала», — сказал Манстед.

Анонимный Судан использовал прокси-серверы для распространения и сокрытия происхождения DDoS-трафика во время атаки, и CyberCX с «высокой степенью достоверности» оценил инфраструктуру прокси-серверов, которую использовала группа, в основном состоящую из платных прокси-сервисов.

«DDoS-атаки были сосредоточены на HTTP-флудах прикладного уровня. Заголовки и аргументы запросов были рандомизированы по разным шаблонам для HTTP-флудов, что предполагает координацию между источниками трафика», — говорится в отчете CyberCX.

«Использование прокси Anonymous Sudаn подразумевает, что DDoS-трафик был сгенерирован из вышестоящего источника. По нашим оценкам, существует реальная вероятность того, что Anonymous Sudan использовали платную облачную инфраструктуру для генерации исходящего трафика», — пишут исследователи.

Отпор путем вождения нападающего стоит дороже

CyberCX заявила, что прокси-инфраструктура группы будет стоить не менее 2700 долларов в месяц. В нем говорится, что для защиты от таких атак организациям с критически важными общедоступными онлайн-системами необходимо убедиться, что их стратегии смягчения последствий DDoS учитывают использование платных прокси-сервисов и подходят для смягчения атак на уровне приложений.

Манстед сказал, что использование группой платных прокси-сервисов означало, что когда она начинала свои атаки, это влекло за собой прямые расходы, которые предоставляли организациям-жертвам «редкую возможность». «Мы часто говорим о том, что киберпреступность очень трудно победить, потому что мы не можем подбрасывать песок в механизмы их бизнес-модели. Это один из тех редких случаев, когда у защитников есть это преимущество, потому что, если у них есть хорошая защита, они могут вернуть затраты непосредственно этой организации», — сказала она.