Проісламські хактивісти «Анонімного Судану», ймовірно, є фронтом для російської операції Killnet

Очевидно проісламське угруповання, яке вразило численні цілі в Європі за допомогою розподілених атак на відмову в обслуговуванні (DDoS) протягом останніх кількох місяців, насправді може бути підгрупою Російський хактивістський колектив, відомий як Killnet.

Група, яка називає себе «Анонімний Судан», взяла на себе відповідальність за нещодавні DDoS-атаки на цілі у Франції, Німеччині, Нідерландах і Швеції. Усі напади, очевидно, були помстою за антиісламську діяльність у кожній із цих країн. Напади на шведський уряд і бізнес-структури, наприклад, відбулися після спалення Корану в Стокгольмі. Та сама або подібна причина стала приводом для DDoS-атак на державні установи Нідерландів і атаки на Air France, де група — у відриві від характеру — викрала дані з веб-сайту авіакомпанії, а не використовувала їх DDoS.

Анонімні посилання Killnet Судану

Дослідники з Trustwave, які стежили за Anonymous Sudan протягом останніх кількох місяців, цього тижня заявили, що є деякі докази того, що група є прикриттям для Killnet. У звітіTrustwave заявив, що його дослідники не змогли підтвердити, чи справді Anonymous Sudan базується в Судані, чи хтось із її членів походить із цієї країни. Публікації групи в Telegram російською та англійською мовами, а інша телеметрія натомість вказує на те, що принаймні деякі її члени є східними європейцями.

Як і у випадку з Killnet, усі цілі Anonymous Sudan були в країнах, які протистояли вторгненню Росії в Україну та/або так чи інакше допомагали останній. Остання загроза — 24 березня — атакувати цілі в Австралії відповідає тим же шаблонам, що й DDoS-атака проти ізраїльського постачальника засобів кібербезпеки Radware.

Також, як і Killnet, Anonymous Sudan здебільшого використовує DDoS-атаки, щоб надіслати повідомлення запланованим цілям. І Killnet, і Anonymous Sudan заявили про свої відповідні канали Telegram, які офіційно пов’язані один з одним. Наприклад, у січні Anonymous Sudan заявив, що допомагав Killnet у DDoS-атаці проти Федеральної розвідувальної служби Німеччини, повідомляє Trustwave.

На думку дослідників Trustwave, чому Anonymous Sudan називає себе проісламською групою, а не проросійською групою, яка є союзником Killnet або, можливо, частиною Killnet. «Anonymous Sudan надзвичайно активно бере на себе відповідальність за атаки через свій канал Telegram, але деталі щодо справжньої причини її зусиль залишаються туманними».

Шумний хактивістський колектив

Сама Killnet — це галаслива хактивістська група, яка за кілька місяців після вторгнення Росії в Україну вразила або стверджував, що вдарив, численні організації по всьому світу в DDoS-атаках. Група описала напади як відплату за підтримку України під час війни під проводом США — і справді, усі її жертви були в країнах, які об’єдналися за Україну. Більшість його атак наразі були спрямовані на організації в Європі. Але в лютому Killnet запустили DDoS-атаки на понад десяток великих лікарень США, зокрема Stanford Health, Michigan Medicine, Duke Health і Cedar-Sinai. У жовтні минулого року група запрацювала DDoS-атаки проти багатьох аеропортів США, включаючи Міжнародний аеропорт Лос-Анджелеса (LAX), Чикаго О'Хара та Міжнародний аеропорт Хартсфілд-Джексон Атланта.

Killnet рекламує ці атаки як серйозні інциденти. Але експерти з безпеки та самі жертви характеризують групу як загрозу середнього ступеня тяжкості, але таку, яку не можна ігнорувати. Наприклад, після нападів Killnet на лікарні в США Американська асоціація охорони здоров’я (AHA) описала атаки Killnet як такі, що зазвичай не завдають великої шкоди, але іноді можуть призвести до перебоїв у роботі служби на кілька днів.

Дослідник безпеки Trustwave SpiderLabs Жаннет Діккенс-Хейл характеризує загрозу, яку представляє Anonymous Sudan, так само. 

«Виходячи з нещодавніх DDoS-атак Anonymous Sudan, їх зв’язку з Killnet і схожості тактичних прийомів і процедур (TTP) з Killnet, здається, що група має низький або середній рівень досвідченості», – каже вона. «Killnet, зручно, як і Anonymous Sudan, в основному запускає DDoS-атаки та погрожує вимаганням даних, які вони можуть мати або не мати». 

Trustwave SpiderLabs оцінює, що Killnet має такий самий рівень загрози. За словами Діккенс-Гейла, нещодавня атака Anonymous Sudan на Air France і загроза продати її дані — які вона може мати або не мати — можуть свідчити про ескалацію мотивації та тип нападу.

Запуск Killnet “Black Skills”.

Постійні спроби Killnet заручитися підтримкою своїх зусиль — здебільшого через перебільшені заяви про успіхи — це ще одна річ, на яку дослідники стежать. Наприклад, Flashpoint цього тижня повідомляв про те, як лідер Killnet «Killmilk» оголосив про створення приватного військового хакерського підрозділу під назвою «Чорні навички».

Постачальник безпеки оцінив, що опис Killmilk Black Skills був спробою позиціонувати Killnet як кібереквівалент операції російських найманців «Група Вагнера». Раніше в березні Killnet також оголосила про пропозицію DDoS як послуги під назвою «Чорний список», яку Flashpoint сприйняла як чергову спробу колективу створити для себе більш формальну ідентичність. 

«Black Skills/Black Listing, схоже, є спробою Killnet утвердити себе як корпоративний стиль», – підсумували дослідники Flashpoint. «Згідно з нашими даними розвідки, нова група буде організована та структурована з підгрупами, які опікуватимуться нарахуванням заробітної плати, зв’язками з громадськістю та технічною підтримкою, перевіркою пера, а також збором даних, аналізом, інформаційними операціями та ударами по пріоритетних цілях».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/attacks-breaches/pro-islam-anonymous-sudan-hacktivists-front-russia-killnet-operation