da Guerre di Rete – newsletter di notizie cyber a cura di Carola Frediani

Anonymous Sudan era un gruppo, attivo dal gennaio 2023, che è stato protagonista di moltissimi attacchi DDoS, di negazione distribuita del servizio (che mandano offline siti e servizi), contro aziende come Microsoft, Cloudflare, X e Paypal, contro agenzie governative negli Stati Uniti, e in altri Paesi. Aveva anche partecipato a una campagna di hacktivismo contro Israele, OpIsrael, e dopo il 7 ottobre aveva preso di mira le app di allerta per i razzi come RedAlert.

Nel mentre, affittava le sua infrastruttura ad altri gruppi hacktivisti e cybercriminali, e aveva collaborato con il gruppo filorusso Killnet, resosi protagonista di molti attacchi DDoS contro l’Ucraina e altri Stati europei che la sostengono (Italia inclusa, come avevo raccontato qua in newsletter). La collaborazione coi russi era tale che ormai da tempo Anonymous Sudan veniva additato spesso come un gruppo di copertura, un fantoccio, dell’intelligence russa. Per alcuni era un sottogruppo di Killnet.

“Anonymous Sudan si descrive come un gruppo di hacktivisti e afferma di condurre attacchi informatici dall’Africa per conto dei musulmani oppressi in tutto il mondo. Il gruppo ha affermato che i suoi attacchi DDoS (Distributed Denial of Service) del 5 giugno contro Microsoft fossero una rappresaglia per la politica degli Stati Uniti sul conflitto militare in Sudan. Gli Usa stanno cercando di mediare un accordo di pace tra le fazioni in guerra”, scriveva Fortune nel giugno 2023, aggiungendo che invece vari esperti di cybersicurezza lo collocavano, ideologicamente e fisicamente, in Russia.

Bene, ora sappiamo che Anonymous Sudan era davvero composto da sudanesi. Da due giovani sudanesi, due fratelli, di 22 e 27 anni. Che si muovevano apparentemente per motivi hacktivisti, ideologici, su cui aggiungevano un po’ di business e affari affittando i loro strumenti ad altri. E sappiamo che questa storia, come molte altre in passato, è l’ennesimo bagno di umiltà per chiunque (esperti di cybersecurity, threat intelligence, poliziotti, magistrati e giornalisti) affronti questi temi quando ancora non sono scoperte tutte le carte e non sono definiti tutti i contorni.
Anonymous Sudan erano solo due fratelli sudanesi capaci di fare molti danni in giro per il mondo e scambiati, con pochi dubbi, per la creatura dell’intelligence russa. Non c’è frase migliore per condensare lo stato ancora “confuso e infelice” (semicit) della nostra cybersicurezza.

Sappiamo tutto questo perché gli Stati Uniti, stando al WashPost, li avrebbero arrestati in silenzio a marzo (in un Paese non dichiarato), ma soprattutto perché giorni fa il Dipartimento di Giustizia ha diffuso la notizia e la loro incriminazione.

Cosa dice l’incriminazione
Secondo gli atti di accusa pubblicati, dall’inizio del 2023 Ahmed Salah Yousif Omer, 22 anni, e Alaa Salah Yusuuf Omer, 27 anni, e i loro clienti hanno utilizzato uno strumento del gruppo, il Distributed Cloud Attack Tool (DCAT) per sferrare attacchi DDoS.

“In circa un anno di attività, lo strumento DDoS di Anonymous Sudan è stato utilizzato per lanciare oltre 35.000 attacchi DDoS”, scrivono gli inquirenti. “Tra le vittime degli attacchi figurano obiettivi governativi sensibili e infrastrutture critiche negli Stati Uniti e in tutto il mondo, tra cui il Dipartimento di Giustizia, il Dipartimento della Difesa, l’FBI, il Dipartimento di Stato, il Cedars-Sinai Medical Center di Los Angeles e i siti web governativi dell’Alabama. Tra le vittime ci sono anche le principali piattaforme tecnologiche statunitensi, tra cui Microsoft e Riot Games, e fornitori di servizi di rete”.

Gli attacchi, che a volte sono durati diversi giorni, hanno provocato interruzioni nell’accesso a siti e servizi che hanno interessato migliaia di clienti. Alcuni di questi attacchi hanno avuto implicazioni tangibili e sono quelle per cui i due fratelli rischiano di più: quando hanno bloccato il reparto di emergenza del Cedars-Sinai Medical Center, hanno obbligato la struttura sanitaria a reindirizzare i pazienti in arrivo verso altri ospedali per circa otto ore.

Come li hanno individuati
Gli attacchi e i post di Anonymous Sudan – scrive un agente speciale dell’FBI nell’affidavit – mostrano che almeno in parte le motivazioni sono ideologiche e geopolitiche, sebbene i due amministratori dello strumento lo affittassero a vari clienti.

L’attacco contro PayPal è costato caro ai due fratelli. Perché ha prodotto un’indagine interna della stessa azienda, che ha identificato degli account PayPal usati proprio da Anonymous Sudan. Con quella soffiata l’agente federale che indagava sul gruppo ha ottenuto informazioni sugli account email collegati a tali account Paypal. E ha confrontato i loro indirizzi IP con quelli lasciati dagli amministratori dei server usati per il tool, accessi avvenuti quasi in contemporanea (i server sono stati individuati anche grazie a una attività sotto copertura in cui l’agente ha comprato degli attacchi). Gli IP erano a loro volta associati a un operatore mobile sudanese, nell’area e al momento in cui Ahmed viveva in quella zona. Una volta ottenuto accesso alla casella mail del sospettato, l’agente federale ha potuto vedere molte altre informazioni, tra cui la cronologia del browser che mostrava come l’uomo cercasse su internet informazioni sulle vittime degli attacchi o anche notizie su Anonymous Sudan.

Godzilla, lo strumento d’attacco
Lo strumento utilizzato per gli attacchi – Distributed Cloud Attack Tool (DCAT), ma ribattezzato in modo assai più suggestivo dai suoi amministratori come botnet Skynet o Godzilla –  consisteva di tre componenti: un server di comando e controllo (C2), una serie di server cloud che ricevevano i comandi da C2 per inoltrarli a una serie di proxies gestiti da altri (non affiliati), che trasmettevano l’attacco alle vittime.
Scrive l’agente: “questi [ultimi] erano dispositivi configurati per l’inoltro automatico di determinate categorie di traffico Internet. Chiamati anche “Open Proxy Resolver”, questi dispositivi di ‘auto-forwarding’ costituivano la parte pubblica della rete Skynet Botnet e spesso erano le uniche informazioni che una vittima di un attacco Skynet Botnet vedeva”.

“È notevole che due soli individui, con un investimento relativamente ridotto di tempo e risorse, siano stati in grado di creare e mantenere una capacità DDoS abbastanza potente da interrompere i principali servizi online e siti web”, scrive Crowdstrike che come altre aziende tech ha dato un contributo alle indagini. “Il loro successo è derivato da una combinazione di fattori: un’infrastruttura di attacco progettata su misura, ospitata su server in affitto con un’elevata larghezza di banda; tecniche sofisticate per aggirare i servizi di mitigazione DDoS; e la capacità di identificare e sfruttare rapidamente endpoint API vulnerabili che, se sommersi di richieste, avrebbero reso i servizi inutilizzabili e interrotto l’accesso degli utenti”.

E non posso non trovarmi d’accordo con le loro conclusioni: “Il caso di Anonymous Sudan sottolinea l’importanza di affidarsi a informazioni concrete e ad analisi rigorose per comprendere le vere motivazioni di questi gruppi, sfatando ogni precedente idea errata sulla loro affiliazione a soggetti sponsorizzati da Stati. Inoltre, evidenzia il danno potenziale significativo che anche gruppi piccoli e pieni di risorse possono causare nel panorama digitale”.