Federale aanklagers in de VS hebben twee Soedanese broers aangeklaagd voor het huren van een gedistribueerd denial-of-service (DDoS)-botnet dat in één jaar tijd een recordaantal van 35.000 DDoS-aanvallen heeft uitgevoerd, inclusief de aanvallen die zich in juni 2023 op de diensten van Microsoft richtten.
De aanvallen, die werden gefaciliteerd door de ‘krachtige DDoS-tool’ van Anonymous Sudan, richtten zich op kritieke infrastructuur, bedrijfsnetwerken en overheidsinstanties in de Verenigde Staten en de rest van de wereld, aldus het Amerikaanse ministerie van Justitie (DoJ).
Ahmed Salah Yousif Omer, 22, en Alaa Salah Yusuuf Omer, 27, zijn beschuldigd van samenzwering om beschermde computers te beschadigen. Ahmed Salah is ook beschuldigd van drie aanklachten wegens het beschadigen van beschermde computers.
Indien hij op alle aanklachten wordt veroordeeld, riskeert Ahmed Salah een wettelijke maximale gevangenisstraf van levenslang in de federale gevangenis, terwijl Alaa Salah een maximale straf van vijf jaar in de federale gevangenis riskeert. De DDoS-tool zou in maart 2024 zijn uitgeschakeld, dezelfde maand waarin het paar werd gearresteerd vanuit een onbekend land.
“Anoniem Soedan probeerde de verwoesting en vernietiging tegen regeringen en bedrijven over de hele wereld te maximaliseren door tienduizenden cyberaanvallen uit te voeren”, zegt de Amerikaanse advocaat Martin Estrada.
“De aanvallen van deze groep waren gevoelloos en brutaal – de beklaagden gingen zelfs zo ver dat ze ziekenhuizen aanvielen die nood- en dringende zorg aan patiënten verleenden.”
Anonymous Sudan, dat door Microsoft wordt gevolgd onder de naam Storm-1359, ontstond begin 2023 en orkestreerde een reeks Zweedse, Nederlandse, Australische en Duitse organisaties. Hoewel ze beweerden een hacktivistische groep te zijn, laten de aanklachten zien dat het slechts een dekmantel was voor wat ze werkelijk waren: een digitale huursoldaat.
“Na aanvankelijk deel te hebben genomen aan een korte pro-Russische hacktivistische campagne, voerde Anonymous Sudan een reeks DDoS-aanvallen uit met duidelijke religieuze en Soedanese nationalistische motivaties, waaronder campagnes tegen Australische en Noord-Europese entiteiten”, aldus Crowdstrike.
“De groep was ook een prominente deelnemer aan de jaarlijkse hacktivistische campagne #OpIsrael. Gedurende deze campagnes toonde Anonymous Sudan ook de bereidheid om samen te werken met andere hacktivistische groepen zoals KillNet, SiegedSec en Türk Hack Team.”
Gerechtsdocumenten beweren dat de Anonymous Sudan-actoren en hun klanten de Distributed Cloud Attack Tool (DCAT) van de groep hebben gebruikt om duizenden destructieve DDoS-aanvallen uit te voeren en publiekelijk de eer daarvoor op te eisen, waardoor alleen al de Amerikaanse slachtoffers meer dan $ 10 miljoen aan schade hebben geleden.
Volgens Amazon Web Services (AWS) werden DDoS-diensten aan potentiële klanten aangeboden voor $100 per dag, $600 per week en $1.700 per maand. De dienst zou elke dag tot 100 aanvallen toestaan.
De DCAT-tool, die in de criminele underground op de markt wordt gebracht als Godzilla, Skynet en InfraShutdown, is ontmanteld als onderdeel van een door de rechtbank geautoriseerde inbeslagname van de belangrijkste componenten ervan, waaronder servers die werden gebruikt om de DDoS-aanvallen uit te voeren, servers die aanvalsopdrachten doorgaven aan een breder netwerk van aanvalscomputers en accounts met de broncode voor de DDoS-tools die door de groep worden gebruikt.
“Deze wetshandhavingsacties werden ondernomen als onderdeel van Operatie PowerOFF, een voortdurende, gecoördineerde inspanning van internationale wetshandhavingsinstanties gericht op het wereldwijd ontmantelen van de criminele DDoS-for-hire-infrastructuur en het ter verantwoording roepen van de beheerders en gebruikers van deze illegale diensten”, aldus het DoJ. gezegd.
De ontwikkeling komt op het moment dat het Finse douanekantoor (ook bekend als Tulli) de Sipulitie darknet-marktplaats ontwrichtte – een opvolger van Sipulimarket die in 2020 door de wetshandhaving werd verwijderd – die gespecialiseerd was in de verkoop van drugs en sinds 2023 operationeel was op het dark web.
“De website in het Fins en het Engels werd gebruikt voor criminele doeleinden, zoals het verkopen van drugs onder de dekmantel van anonimiteit”, zei Tulli. “De websitebeheerder heeft op openbare fora gezegd dat de omzet van Sipulitie 1,3 miljoen euro bedroeg.”
Elders zei het Braziliaanse ministerie van Federale Politie (DPF) dat het een hacker heeft gearresteerd in verband met een reeks cyberaanvallen die inbreuk maakten op zijn eigen systemen en die van andere internationale instellingen.
De inspanning, met de codenaam Operation Data Breach, zag de uitvoering van een huiszoekings- en inbeslagnemingsbevel en een preventief arrestatiebevel tegen de verdachte in de stad Belo Horizonte vanwege beschuldigingen van het lekken van gevoelige gegevens in verband met 80.000 leden van InfraGard, een gezamenlijke oefening tussen de Amerikaanse regering en kritieke infrastructuursectoren.
De naamloze persoon, die de namen USDoD en EquationCorp droeg, is ook beschuldigd van het tweemaal verkopen van gegevens van de federale politie, op 22 mei 2020 en 22 februari 2022, en van het lekken van gegevens van Airbus en de Amerikaanse Environmental Protection Agency. (EPA).
