Para hackers que buscam maximizar o caos, os chamados ataques de negação de serviço que derrubam alvos com ondas de tráfego indesejado são tipicamente mais um maço contundente do que uma arma de destruição em massa. Mas, de acordo com o Departamento de Justiça dos EUA, um par de irmãos sudaneses supostamente por trás do grupo hacktivista Anonymous Sudan lançou uma onda desses ataques cibernéticos brutais que foi poderosa e cruel o suficiente em sua escolha de vítimas—se estendendo a dezenas de hospitais em vários países, ao sistema de alerta de mísseis de Israel e a milhares de serviços digitais—que um deles agora está sendo acusado não apenas de hacking criminal, mas também com a rara alegação adicional de buscar causar morte e lesão física.
Na quarta-feira, o DOJ deslacrou acusações contra os irmãos Ahmed e Alaa Omer, que supostamente lançaram um bombardeio punitivo de mais de 35.000 ataques de negação de serviço distribuídos, ou DDoS, contra centenas de organizações, derrubando sites e outros sistemas de rede como parte de seu próprio hacktivismo motivado ideologicamente, como meio de extorsão, ou em nome de clientes de um serviço de ataque cibernético por encomenda que eles administravam para lucro. De acordo com os promotores dos EUA e o FBI, suas vítimas incluíam os serviços de nuvem Azure da Microsoft, o ChatGPT da OpenAI, empresas de videogame e mídia, aeroportos e até mesmo o Pentágono, o FBI e o próprio Departamento de Justiça.
“Declaramos guerra cibernética aos Estados Unidos,” postou Ahmed Omer em uma mensagem para o canal do Telegram do Anonymous Sudan em abril do ano passado, de acordo com a acusação. “Os Estados Unidos serão nosso alvo principal.”
Mais singularmente, o Departamento de Justiça afirma que um dos dois hackers buscou causar danos potencialmente mortais com seu suposto direcionamento a hospitais nos EUA, Dinamarca, Suécia e Índia—que em pelo menos um caso em fevereiro do hospital Cedars-Sinai Health Systems de Los Angeles, causou horas de inatividade para serviços de saúde que desviaram pacientes para outros hospitais. “Bombardeiem nossos hospitais em Gaza, nós fechamos os seus também, olho por olho,” escreveu Ahmed Omer supostamente no Telegram no meio do ataque. Como resultado desses ataques a hospitais, os promotores estão apresentando acusações contra Ahmed Omer que carregam uma possível sentença de prisão perpétua, que os promotores descrevem como as acusações criminais mais severas já apresentadas contra um hacker acusado de ataques de negação de serviço.
Em casos anteriores, as autoridades dos EUA afirmam que os hackers usaram ataques cibernéticos para interromper o aplicativo de alerta de mísseis Tzeva Adom ou “Código Vermelho” de Israel, derrubando o sistema no meio de ataques mortais por Hamas, incluindo durante os ataques de Hamas em 7 de outubro do ano passado.
“As ações tomadas por este grupo foram cruéis e ousadas,” disse Martin Estrada, um promotor dos EUA para o Distrito Central da Califórnia e promotor principal do caso, a repórteres em uma teleconferência. “Este grupo foi motivado por sua ideologia extremista, essencialmente uma ideologia nacionalista sudanesa.”
Apesar de divulgar suas acusações contra os dois homens, Estrada se recusou a esclarecer a localização dos dois hackers alegados—embora tenha observado que eles estão sob custódia e foram entrevistados por agentes do FBI. As agências de aplicação da lei também parecem ter realizado uma operação para derrubar a infraestrutura do Anonymous Sudan em março deste ano, o que impediu o grupo de realizar novos ataques. O canal do Telegram onde o grupo se gabava de seus alvos e anunciava seu serviço de ataque por lucro ficou completamente silencioso por volta dessa época e desde então deixou de existir. “Anonymous Sudan em nome e em operação está efetivamente morto,” diz Chad Seaman, um pesquisador de segurança principal da empresa de tecnologia Akamai e membro do Big Pipes, um grupo de trabalho focado em DDoS que acompanhou de perto o grupo e colaborou com a aplicação da lei em sua investigação.
De meados de 2023 até essa derrubada, o Anonymous Sudan se destacou entre os hacktivistas autoproclamados com uma série de ataques DDoS surpreendentemente grandes e de alto perfil. Em junho do ano passado, por exemplo, ele atacou os serviços de nuvem Azure da Microsoft por dias, derrubando-o intermitentemente e exigindo um resgate de um milhão de dólares para parar. Também derrubou repetidamente o ChatGPT da OpenAI em dezembro e escreveu no Telegram que estava atacando a empresa devido às postagens pró-Israel de um de seus funcionários.
O Anonymous Sudan, de fato, às vezes parecia ter laços formais ou informais com forças anti-Israel: De acordo com os promotores, lançou ataques cibernéticos disruptivos que visavam o sistema de alerta de mísseis Tzeva Adom de Israel em 7 de outubro de 2023, no meio dos ataques pela ala militante do Hamas que mataram quase 1.200 israelenses. À medida que o bombardeio e a invasão de Israel da faixa de Gaza mataram dezenas de milhares de civis palestinos nos meses que se seguiram, o Anonymous Sudan frequentemente descreveu a motivação para seus ataques em suas postagens no Telegram como a defesa dos palestinos.
Em dezembro de 2023, por exemplo, o Anonymous Sudan derrubou o ChatGPT da OpenAI com uma série sustentada de ataques DDoS em resposta ao apoio vocal do executivo da empresa, Tal Broda, às missões de ataque do Exército de Defesa de Israel em Gaza. “Mais! Sem misericórdia! O IDF não para!” Broda havia escrito no X sobre uma foto de uma paisagem urbana devastada em Gaza, e em outra postagem negou a existência da Palestina.
“Continuaremos atacando o ChatGPT até que o apoiador do genocídio, Tal Broda, seja demitido e o ChatGPT pare de ter visões desumanizadoras sobre os palestinos,” respondeu o Anonymous Sudan em uma postagem no Telegram explicando seus ataques à OpenAI.
Ainda assim, os verdadeiros objetivos do Anonymous Sudan nem sempre pareceram inteiramente ideológicos, diz Seaman, da Akamai. O grupo também ofereceu vender acesso à sua infraestrutura DDoS para outros hackers: postagens no Telegram do grupo até março recente ofereciam o uso de seu serviço DDoS, conhecido como Godzilla ou Skynet, por $2.500 por mês. Isso sugere que mesmo seus ataques que pareciam ser politicamente motivados podem ter sido destinados, pelo menos em parte, como marketing para seu lado lucrativo, argumenta Seaman.
“Eles parecem ter pensado: ‘Podemos nos envolver, realmente causar danos às pessoas e ao mesmo tempo promover esse serviço,'” diz Seaman. Ele observa que, no foco anti-Israel e pró-Palestina do grupo após os ataques de 7 de outubro, “definitivamente há um fio ideológico aí. Mas a maneira como isso se entrelaçou entre as diferentes vítimas é algo que talvez apenas os perpetradores do ataque entendam completamente.”
Às vezes, o Anonymous Sudan também atingiu alvos ucranianos, aparentemente fazendo parceria com grupos hackers pró-Rússia como o Killnet. Isso levou alguns na comunidade de cibersegurança a suspeitar que o Anonymous Sudan era, de fato, uma operação ligada à Rússia usando sua identidade sudanesa como uma fachada, dada a história da Rússia de usar hacktivismo como bandeira falsa. As acusações contra Ahmed e Alaa Omer sugerem que o grupo era, em vez disso, autenticamente de origem sudanesa. Mas, além de seu nome, o grupo não parece ter laços claros com o coletivo de hackers Anonymous original, que tem estado amplamente inativo na última década.
Além de seu direcionamento e política, o grupo se destacou por uma abordagem técnica relativamente nova e eficaz, diz Seaman, da Akamai: seu serviço DDoS foi construído ganhando acesso a centenas ou possivelmente milhares de servidores privados virtuais—máquinas frequentemente poderosas oferecidas por empresas de serviços de nuvem—alugando-os com credenciais fraudulentas. Ele então usou essas máquinas para lançar ataques de camada 7, sobrecarregando servidores web com solicitações de websites, em vez das inundações de dados brutos de internet de nível inferior que hackers DDoS tendem a usar no passado. O Anonymous Sudan e os clientes de seus serviços DDoS então direcionariam vítimas com vastas quantidades dessas solicitações de camada 7 em paralelo, às vezes usando técnicas chamadas “multiplexação” ou “encadeamento” para criar simultaneamente múltiplas demandas de largura de banda em servidores até que eles caíssem offline.
Por pelo menos nove meses, o poder técnico do grupo e seu direcionamento ousado e imprevisível o tornaram uma preocupação de topo para a comunidade anti-DDoS, diz Seaman—e para suas muitas vítimas. “Havia muita incerteza sobre esse grupo, o que eles eram capazes de fazer, quais eram suas motivações, por que atacavam as pessoas,” diz Seaman. “Quando o Anonymous Sudan desapareceu, houve um aumento na curiosidade e definitivamente um suspiro de alívio.”
“Este foi um enorme número de ataques,” disse Estrada. “Estamos determinados a responsabilizar os cibercriminosos pelo grave dano que causam.”