Documentos de um grande júri recém-deslacrados revelaram que dois cidadãos sudaneses supostamente tentaram lançar milhares de ataques distribuídos de negação de serviço (DDoS) em sistemas ao redor do mundo. Os documentos alegam que esses hacks tinham como objetivo causar sérios danos financeiros e técnicos a entidades governamentais e empresas, e até mesmo danos físicos em alguns casos.
O Departamento de Justiça dos EUA (DoJ) deslacrou acusações contra Ahmed Salah Yousif Omer e Alaa Salah Yusuuf Omer que resultaram em indiciamentos de um grande júri federal. Os dois estão supostamente conectados a mais de 35.000 ataques DDoS contra centenas de organizações, sites e redes como parte de um esquema de “hacktivismo” como parte do grupo de cibercrime Anonymous Sudan e um serviço de ciberataque com fins lucrativos.
Embora o Anonymous Sudan tenha afirmado ser um grupo ativista, os irmãos também mantiveram alguns sistemas de empresas e entidades como reféns por taxas de até $1.700 por mês.
Ambos enfrentam indiciamentos por seu papel nos ciberataques coordenados, incluindo uma contagem de conspiração para danificar computadores protegidos. Ahmed também enfrenta três contagens adicionais de danificar computadores protegidos e pode receber uma pena máxima estatutária de prisão perpétua, de acordo com registros judiciais apresentados em junho no Tribunal Distrital dos EUA para o Distrito Central da Califórnia.
As atividades dos irmãos datam do início de 2023. Os dois usaram uma ferramenta de ataque em nuvem distribuída (DCAT) chamada “Skynet Botnet” para “realizar ataques DDoS destrutivos e reivindicar publicamente crédito por eles”, de acordo com uma declaração do DoJ. Ahmed postou uma mensagem no canal do Telegram do Anonymous Sudan: “Os Estados Unidos devem estar preparados, será um ataque muito grande, como o que fizemos em Israel, faremos nos Estados Unidos ’em breve’.”
Um dos indiciamentos listou 145 “atos abertos” em organizações e entidades nos EUA, União Europeia, Israel, Sudão e Emirados Árabes Unidos (EAU). Os ataques da Skynet Botnet tentaram interromper serviços e redes em aeroportos, redes de software e empresas, incluindo Cloudflare, X, Paypal e Microsoft, causando interrupções no Outlook e OneDrive em junho do ano passado. Os ataques também visaram agências e sites do governo federal e estadual, incluindo o Federal Bureau of Investigation (FBI), o Pentágono e o DoJ, e até hospitais, incluindo um ataque importante ao Cedars-Sinai Hospital em Los Angeles, causando uma desaceleração dos serviços de saúde, pois pacientes foram desviados para outros hospitais. O ataque ao hospital levou às acusações de hacking contra Ahmed, que carregam penas potenciais de prisão perpétua.
“Mais de 3 horas e ainda segurando”, Ahmed postou no Telegram em fevereiro, “eles estão tentando desesperadamente consertar, mas sem sucesso. Bombardeiem nossos hospitais em Gaza, nós fechamos os seus também, olho por olho…”
Agentes especiais do FBI reuniram evidências das atividades ilegais do par, incluindo registros que mostram que eles venderam acesso à Skynet Botnet para mais de 100 clientes para realizar ataques contra várias vítimas que trabalharam com investigadores, incluindo Cloudflare, Crowdstrike, Digital Ocean, Google, PayPal e outros.
A Amazon Web Services (AWS) foi uma das vítimas do Anonymous Sudan como parte do esquema de hacking por contratação, de acordo com registros judiciais e uma declaração da AWS. As equipes de segurança da AWS trabalharam com investigadores de cibercrime do FBI. As equipes de segurança descobriram que os ataques estavam vindo de “uma variedade de servidores baseados em nuvem, muitos dos quais estavam hospedados em um provedor de hospedagem de servidores dos EUA.” A descoberta ajudou o FBI a determinar que os ataques da Skynet Botnet estavam vindo de um DCAT em vez de um botnet que encaminhava o DDoS para suas vítimas através de servidores baseados em nuvem e resolvedores de proxy abertos.
Talvez o ataque mais ousado e perigoso do grupo tenha ocorrido em abril de 2023, que visou o sistema de alerta de foguetes de Israel chamado Red Alert. O aplicativo móvel fornece atualizações em tempo real sobre ataques de mísseis e ameaças de segurança. Os ataques DDoS tentaram infiltrar alguns dos domínios da Internet do Red Alert. Ahmed assumiu a responsabilidade pelos ataques ao Red Alert no Telegram, junto com ataques DDoS semelhantes a utilitários israelenses e ao site de notícias Jerusalem Post.
“Os ataques deste grupo foram cruéis e ousados — os réus chegaram ao ponto de atacar hospitais que fornecem cuidados de emergência e urgentes a pacientes,” disse o promotor dos EUA Martin Estrada em uma declaração divulgada. “Meu escritório está comprometido em proteger a infraestrutura do nosso país e as pessoas que a utilizam, e responsabilizaremos os criminosos cibernéticos pelo grave dano que causam.”