Een ogenschijnlijk pro-islamitische groep die de afgelopen maanden talloze doelen in Europa heeft getroffen met gedistribueerde denial of service (DDoS)-aanvallen, is mogelijk een subgroep van de Russisch hacktivistencollectief bekend als Killnet.
De groep, die zichzelf 'Anoniem Soedan' noemt, heeft de verantwoordelijkheid opgeëist voor recente DDoS-aanvallen op doelen in Frankrijk, Duitsland, Nederland en Zweden. Alle aanslagen waren blijkbaar een vergelding voor vermeende anti-islamitische activiteiten in elk van deze landen. De aanvallen op de Zweedse regering en het bedrijfsleven volgden bijvoorbeeld op een incident van koranverbranding in Stockholm. Dezelfde of vergelijkbare reden was de trigger voor DDoS-aanvallen op Nederlandse overheidsinstanties en een aanval op Air France, waar de groep - in een breuk met karakter - gegevens van de website van de luchtvaartmaatschappij stal in plaats van deze te DDoSen.
Anonieme Sudan's Killnet-links
Onderzoekers van Trustwave, die Anonymous Sudan de afgelopen maanden hebben gevolgd, zeiden deze week dat er aanwijzingen zijn dat de groep een dekmantel is voor Killnet. In een rapport, zei Trustwave dat zijn onderzoekers niet hebben kunnen bevestigen of Anonymous Sudan inderdaad in Sudan is gevestigd of dat een van zijn leden uit dat land komt. De Telegram-berichten van de groep zijn in het Russisch en Engels, en andere telemetrie wijst in plaats daarvan erop dat ten minste enkele van de leden Oost-Europees zijn.
Net als bij Killnet, bevinden alle doelen van Anonymous Sudan zich in landen die zich hebben verzet tegen de Russische invasie van Oekraïne en/of deze laatste op de een of andere manier hebben bijgestaan. De meest recente dreiging – op 24 maart – om doelen in Australië aan te vallen, past in dezelfde patronen, net als een DDoS-aanval op de Israëlische leverancier van cyberbeveiliging Radware.
Ook net als Killnet heeft Anonymous Sudan voornamelijk DDoS-aanvallen gebruikt om zijn bericht naar beoogde doelen te sturen. En zowel Killnet als Anonymous Sudan hebben claims ingediend op hun respectieve Telegram-kanalen die officieel met elkaar verbonden zijn. Zo beweerde Anonymous Sudan in januari Killnet te hebben geholpen bij een DDoS-aanval op de Duitse federale inlichtingendienst, aldus Trustwave.
Waarom Anonymous Sudan zichzelf zou bestempelen als een pro-islamitische groep in plaats van een pro-Russische groep die verbonden is met - of mogelijk een deel van - Killnet, blijft volgens Trustwave-onderzoekers onduidelijk. "Anonieme Soedan is buitengewoon actief geweest met het claimen van de eer voor aanvallen via zijn Telegram-kanaal, maar details over de ware redenering achter zijn inspanningen blijven duister."
Een luidruchtig hacktivistisch collectief
Killnet zelf is een luidruchtige hacktivistische groep, die in de maanden na de Russische invasie van Oekraïne, of beweerde te slaan, tal van organisaties wereldwijd bij DDoS-aanvallen. De groep heeft de aanslagen beschreven als vergelding tegen de door de VS geleide steun aan Oekraïne in de oorlog – en inderdaad, alle slachtoffers zijn gevallen in landen die zich achter Oekraïne hebben geschaard. De meeste aanvallen zijn tot nu toe gericht op organisaties in Europa. Maar in februari werd Killnet gelanceerd DDoS-aanvallen op meer dan een dozijn grote Amerikaanse ziekenhuizen, waaronder Stanford Health, Michigan Medicine, Duke Health en Cedar-Sinai. Afgelopen oktober ging de groep van start DDoS-aanvallen op meerdere Amerikaanse luchthavens, waaronder Los Angeles International Airport (LAX), Chicago O'Hare en de Hartsfield-Jackson Atlanta International Airport.
Killnet heeft deze aanvallen aangeprezen als grote incidenten. Maar veiligheidsexperts en slachtofferorganisaties zelf typeren de groep als een middelzware dreiging in het slechtste geval, maar een die niet kan worden genegeerd. Na de aanvallen van Killnet op Amerikaanse ziekenhuizen, bijvoorbeeld, beschreef de American Health Association (AHA) de aanvallen van Killnet als doorgaans niet veel schade aanrichtend, maar soms de potentie hebben om de dienstverlening gedurende meerdere dagen te verstoren.
Security-onderzoeker Jeannette Dickens-Hale van Trustwave SpiderLabs typeert de dreiging die Anonymous Sudan vormt op dezelfde manier.
"Gebaseerd op de recente DDoS-aanvallen van Anonymous Sudan, de connectie met en gelijkenis in tactiektechnieken en procedures (TTP's) met Killnet, lijkt het erop dat de groep een laag tot gemiddeld geavanceerd niveau heeft", zegt ze. “Killnet lanceert, gemakshalve net als Anonymous Sudan, voornamelijk DDoS-aanvallen en dreigt met afpersing met data die ze al dan niet hebben.”
Trustwave SpiderLabs beoordeelt dat Killnet hetzelfde dreigingsniveau heeft. De recente aanval van Anonymous Sudan op Air France en de dreiging om zijn gegevens te verkopen - die het al dan niet daadwerkelijk heeft - kunnen wijzen op een escalatie van motivatie en aanvalstype, zegt Dickens-Hale.
Killnet's "Black Skills" lancering
De onophoudelijke pogingen van Killnet om steun te krijgen voor zijn inspanningen - meestal door overdreven claims van zijn successen - zijn een ander ding dat onderzoekers in de gaten houden. Flashpoint maakte deze week bijvoorbeeld melding van het observeren van Killnet's leider "Killmilk" die de oprichting van een particuliere militaire hackoutfit genaamd "zwarte vaardigheden".
De beveiligingsverkoper oordeelde dat Killmilk's beschrijving van Black Skills een poging was om Killnet te positioneren als het cyberequivalent van de Russische huurlingenoperatie de Wagner Group. Eerder in maart kondigde Killnet ook een DDoS-as-a-service-aanbod aan genaamd "Black Listing", dat Flashpoint zag als een nieuwe poging van het collectief om een meer formele identiteit voor zichzelf te creëren.
"Black Skills/Black Listing lijkt een poging van Killnet te zijn om zich te vestigen als een bedrijfsidentiteit", concluderen Flashpoint-onderzoekers. "Volgens onze inlichtingen zal de nieuwe groep worden georganiseerd en gestructureerd, met subgroepen die zorgen voor de salarisadministratie, public relations en technische ondersteuning, pentesten, evenals gegevensverzameling, analyse, informatieoperaties en treffers tegen prioritaire doelen."
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/attacks-breaches/pro-islam-anonymous-sudan-hacktivists-front-russia-killnet-operation
- :is
- $UP
- 7
- a
- in staat
- Volgens
- actieve
- activiteit
- werkelijk
- tegen
- agentschappen
- AIR
- luchtvaart
- luchthaven
- Alles
- Amerikaans
- analyse
- en
- Angeles
- aangekondigd
- Het aankondigen
- Anoniem
- Nog een
- verschijnen
- ZIJN
- AS
- geëvalueerd
- Vereniging
- At
- aanvallen
- Aanvallen
- pogingen
- Australië
- gebaseerde
- BE
- achter
- wezen
- Zwart
- merk
- Breken
- bedrijfsdeskundigen
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- oproepen
- kan niet
- verzorging
- veroorzakend
- Kanaal
- kanalen
- karakter
- gekarakteriseerde
- kenmerkt
- chicago
- beweerde
- vorderingen
- Collectie
- Collective
- gesloten
- Bevestigen
- Verbinden
- versterken
- Bedrijfs-
- kon
- landen
- Land
- Credits
- cyber
- Cybersecurity
- gegevens
- dagen
- DDoS
- DDoS-aanval
- Denial of Service
- beschreven
- beschrijving
- gegevens
- ontwrichten
- verdeeld
- dozijn
- Hertog
- Nederlands
- elk
- Vroeger
- oostelijk
- inspanningen
- Engels
- entiteiten
- Gelijkwaardig
- escalatie
- oprichten
- Europa
- Nederlands
- bewijzen
- deskundigen
- afpersing
- uiterst
- oog
- Februari
- Federaal
- weinig
- gevolgd
- volgend
- Voor
- formeel
- Frankrijk
- oppompen van
- voor
- Duitsland
- Overheid
- Groep
- hacking
- Hebben
- met
- Gezondheid
- Hit
- Hits
- ziekenhuizen
- Echter
- HTTPS
- Identiteit
- in
- incident
- Inclusief
- aangeven
- informatie
- instantie
- verkrijgen in plaats daarvan
- Intelligentie
- Internationale
- invasie
- IT
- HAAR
- zelf
- Januari
- jpg
- houden
- bekend
- Achternaam*
- gelanceerd
- lanceert
- leider
- Niveau
- als
- Waarschijnlijk
- vermelding
- de
- Los Angeles
- Laag
- gemaakt
- groot
- Maart
- geneeskunde
- Medium
- Leden
- Bericht
- Michigan
- Leger
- maanden
- meer
- meest
- Motivatie
- meervoudig
- Nederland
- New
- vele
- per gelegenheid
- oktober
- of
- het aanbieden van
- Officieel
- on
- EEN
- operatie
- Operations
- gekant tegen
- organisaties
- Georganiseerd
- Overige
- deel
- verleden
- patronen
- Loonlijst
- waargenomen
- Plato
- Plato gegevensintelligentie
- PlatoData
- punt
- positie
- Berichten
- potentieel
- cadeautjes
- prioriteit
- privaat
- procedures
- publiek
- Public relations
- liever
- reden
- recent
- betrekkingen
- blijven
- stoffelijk overschot
- gemeld
- onderzoeker
- onderzoekers
- degenen
- verantwoordelijkheid
- Rusland
- Russisch
- s
- Zei
- dezelfde
- zegt
- veiligheid
- verkopen
- service
- Diensten
- verscheidene
- gelijk
- sinds
- vaardigheden
- So
- dusver
- sommige
- stola
- gestructureerde
- Soedan
- ondersteuning
- Zweden
- Zweeds
- tactiek
- het nemen
- doelen
- Technisch
- technieken
- Telegram
- Testen
- dat
- De
- de Nederland
- hun
- zich
- Deze
- ding
- deze week
- bedreiging
- bedreigt
- Door
- naar
- aangeprezen
- Tracking
- leiden
- waar
- typisch
- Oekraïne
- us
- verkoper
- via
- Slachtoffer
- slachtoffers
- oorlog
- Manier..
- Website
- week
- GOED
- welke
- WIE
- wil
- Met
- wereldwijd
- Slechtst
- zou
- zephyrnet
