השלטון הפדרלי בארצות הברית הודיע ביום רביעי האחרון על מעצרם והגשת כתבי אישום נגד שני אחים מסודן, אשר הואשמו בהובלת קבוצת הסייבר "אנון-סודאן" (AnonSudan). הקבוצה זכתה לפרסום בעקבות מתקפות סייבר חזקות מסוג מניעת שירות מבוזרת (DDoS), אשר כוונו נגד מגוון רחב של יעדים, כולל בתי חולים, אתרי חדשות וספקי ענן. האח הצעיר מבין השניים מואשם במעשים שעלולים להוביל למאסר עולם, בשל הטענות כי פעל על מנת לגרום לנפגעים באמצעות המתקפות.
עסק סייבר ולא רק אידיאולוגיה
"אנון-סודאן", אשר פעלה לפחות מאז ינואר 2023, הוצגה בתקשורת כקבוצת האקטיביסטים (Hacktivist) בעלת מניעים אידיאולוגיים. אך כתב האישום של ה-FBI מתאר תמונה אחרת: מתקפות הסייבר של הקבוצה שימשו למעשה ככלי שיווקי לשירותי DDoS להשכרה, אותם הציעו ללקוחות במחירים שנעו החל מ-150 דולר ליום ועד ל-700 דולר לשבוע שלם, עם עד 100 מתקפות ביום.
למרות השמועות על מעורבות אפשרית של רוסיה כקבוצת האקרים המשתמשת בסיפור כיסוי סודני, ה-FBI הצביע על שני האחים, אחמד סלאח יוסוף עומר, בן 22, ואלעא סלאח יוסוף עומר, בן 27, כמנהיגי "אנון-סודאן".
מתקפות על תשתיות גדולות והאשמות חמורות
בין המטרות שהקבוצה תקפה ניתן למנות חברות אמריקאיות רבות, ובהן מיקרוסופט, שחוותה תקלה רב-יומית בשירותי הענן שלה ביוני 2023, ופייפאל, שנפגעה בחודש יולי שלאחר מכן. גם טוויטר/אקס ואופן AI נפגעו במתקפות הקבוצה באוגוסט ונובמבר 2023. בנוסף, כתבי האישום מתארים מתקפה נגד אתרי האינטרנט של ה-FBI ומחלקת המדינה האמריקאית.
מעבר למתקפות DDoS, הקבוצה הציעה גם "חבילת השבתת אינטרנט מוגבלת", שהייתה יכולה לאפשר ללקוחות להשבית את ספקי האינטרנט במדינה מסוימת תמורת 500 דולר לשעה. האחים מואשמים גם בסחיטת קורבנותיהם באמצעות איומים להפסיק מתקפות DDoS בתמורה לכסף.
מערכת מתקפות מתקדמת
"אנון-סודאן" קיבלה הזמנות באמצעות אפליקציית המסרים טלגרם, ומיתגה את שירותי ה-DDoS שלה בשמות כמו "סקיינט", "אינפרהשאטדאון" ו"רשת בוטים גודזילה". שלא כמו רוב הרשתות המשמשות למתקפות DDoS, המערכת שהאחים עומר בנו לא התבססה על מכשירים פרוצים. במקום זאת, השתמשו בתשתית מבוססת ענן עם שרתי פיקוד ושליטה (C2) שהעבירו פקודות להתקפה באמצעות שרתים מרוחקים, שהעבירו את התנועה למטרות המתקפה.
שיתוף פעולה בינלאומי לחקירת הקבוצה
חברות טכנולוגיה אמריקאיות, כמו אמזון, שיתפו פעולה עם הרשויות וסייעו בפענוח המתקפות. אמזון תיארה כיצד הקבוצה השתמשה בשירותי אירוח כדי לשכור שרתים ששימשו לתקיפות. "כשהם מקבלים גישה לאלפי שרתים נוספים, הם יכולים להסוות את מקור המתקפה וליצור עומסים עצומים על מערכות היעד", נמסר מאמזון.
חברת הסייבר CrowdStrike ציינה כי ההצלחה של "אנון-סודאן" נבעה משילוב של טכניקות מתוחכמות לעקיפת שירותי הגנה נגד DDoS, ומתמקדות במתקפות 'שכבה 7' שמטרתן להפיל את מערכות הניהול האחוריות (API) באמצעות פניות כוזבות.
השלכות משפטיות כבדות
שני האחים מואשמים בקשירת קשר לפגיעה במחשבים מוגנים, אך המעמסה המשפטית הכבדה מוטלת על אחמד סלאח, שמואשם גם בניסיונות פגיעה מכוונת באנשים. אם יוסגרו לארה"ב ויורשעו, אלעא סלאח עשוי לעמוד בפני עונש של עד חמש שנות מאסר, בעוד אחמד סלאח עלול לקבל עונש מאסר עולם.
מתקפות על ישראל וארה"ב במוקד ההאשמות
האישומים מתארים גם מתקפות רגישות מבחינה גיאופוליטית. כאשר לוחמי חמאס חדרו לגבול ישראל ב-7 באוקטובר 2023, "אנון-סודאן" הכריזה על מתקפה נגד ה-APIs של אפליקציות התרעה בישראל, אשר מזהירות תושבים על רקטות מתקרבות. בנוסף, בפברואר 2024 הקבוצה תקפה את בית החולים "סידרס-סיני" בלוס אנג'לס, מה שגרם לשיבושים בשירותי החירום והעברת מטופלים לבתי חולים אחרים.
עוד נטען כי בספטמבר 2023 החלה הקבוצה במתקפת DDoS מתמשכת נגד תשתית האינטרנט של קניה, שגרמה להפסקות פעילות של שירותי ממשל, בנקים, אוניברסיטאות ושבעה בתי חולים לפחות.
המשך ההליכים ומשמעותם לעולם הסייבר
המעצרים של האחים עומר וסגירת התשתיות של "אנון-סודאן" מציינים צעד משמעותי במאבק הגלובלי נגד פשעי סייבר מתוחכמים. עם זאת, הפרשה מדגישה את הפוטנציאל ההרסני של מתקפות סייבר בעלות מאפיינים מתקדמים, ואת האתגרים שעומדים בפני מערכות החוק בהתמודדות עם איומים גלובליים מסוג זה.
הוסף תגובה