Les États-Unis accusent deux frères soudanais d’avoir commis 35 000 attaques DDoS, un record
Les procureurs fédéraux américains ont accusé deux frères soudanais d’avoir géré un botnet de déni de service distribué (DDoS) à titre onéreux qui a mené un nombre record de 35 000 attaques DDoS en une seule année, y compris celles qui ont ciblé les services de Microsoft en juin 2023.
Les attaques, facilitées par le « puissant outil DDoS » d’Anonymous Sudan, ont ciblé des infrastructures critiques, des réseaux d’entreprises et des agences gouvernementales aux États-Unis et dans le monde entier, a déclaré le ministère américain de la Justice (DoJ).
Ahmed Salah Yousif Omer, 22 ans, et Alaa Salah Yusuuf Omer, 27 ans, ont été inculpés d’un chef d’accusation de complot visant à endommager des ordinateurs protégés. Ahmed Salah a également été inculpé de trois chefs d’accusation de dommages causés à des ordinateurs protégés.
S’il est reconnu coupable de tous les chefs d’accusation, Ahmed Salah risque une peine maximale de prison fédérale à vie, tandis qu’Alaa Salah risque une peine maximale de cinq ans de prison fédérale. L’outil DDoS aurait été désactivé en mars 2024, le mois même où les deux hommes ont été arrêtés dans un pays inconnu.
« Anonymous Sudan a cherché à maximiser les ravages et la destruction contre les gouvernements et les entreprises du monde entier en perpétrant des dizaines de milliers de cyberattaques », a déclaré l’avocat américain Martin Estrada.
« Les attaques de ce groupe étaient cruelles et effrontées : les accusés sont allés jusqu’à attaquer des hôpitaux fournissant des soins d’urgence aux patients. »
Anonymous Sudan, suivi par Microsoft sous le nom Storm-1359, est apparu début 2023, orchestrant une série d’organisations suédoises, néerlandaises, australiennes et allemandes. Bien qu’il ait prétendu être un groupe de hacktivistes, les actes d’accusation montrent qu’il ne s’agissait que d’une façade pour ce qu’il était en réalité, une équipe de mercenaires numériques.
« Après avoir initialement rejoint une brève campagne hacktiviste pro-russe, Anonymous Sudan a mené une série d’attaques DDoS avec des motivations apparentes religieuses et nationalistes soudanaises, y compris des campagnes contre des entités australiennes et d’Europe du Nord », a déclaré Crowdstrike .
« Le groupe a également participé de manière importante à la campagne hacktiviste annuelle #OpIsrael. Tout au long de ces campagnes, Anonymous Sudan a également démontré sa volonté de collaborer avec d’autres groupes hacktivistes comme KillNet, SiegedSec et Türk Hack Team. »
Des documents judiciaires affirment que les acteurs d’Anonymous Sudan et leurs clients ont utilisé l’outil d’attaque distribuée dans le cloud (DCAT) du groupe pour mener des milliers d’attaques DDoS destructrices et en ont publiquement revendiqué le mérite, causant plus de 10 millions de dollars de dommages aux seules victimes américaines.
Selon Amazon Web Services ( AWS ), des services DDoS étaient proposés aux clients potentiels pour 100 $ par jour, 600 $ par semaine et 1 700 $ par mois. Le service aurait permis jusqu’à 100 attaques par jour.
L’outil DCAT, commercialisé dans le milieu criminel sous les noms de Godzilla, Skynet et InfraShutdown, a été démantelé dans le cadre d’une saisie autorisée par le tribunal de ses composants clés, notamment les serveurs qui ont été utilisés pour lancer les attaques DDoS, les serveurs qui ont relayé les commandes d’attaque à un réseau plus large d’ordinateurs d’attaque et les comptes contenant le code source des outils DDoS utilisés par le groupe.
« Ces mesures d’application de la loi ont été prises dans le cadre de l’opération PowerOFF , un effort continu et coordonné entre les agences internationales d’application de la loi visant à démanteler les infrastructures criminelles DDoS à louer dans le monde entier et à demander des comptes aux administrateurs et aux utilisateurs de ces services illégaux », a déclaré le ministère de la Justice.
Cette évolution intervient alors que le bureau des douanes finlandais (alias Tulli) a perturbé le marché du darknet Sipulitie – un successeur de Sipulimarket qui a été fermé par les forces de l’ordre en 2020 – qui était spécialisé dans la vente de drogues et était opérationnel sur le dark web depuis 2023.
“Le site Internet en finnois et en anglais était utilisé à des fins criminelles, notamment pour vendre de la drogue sous couvert d’anonymat”, a déclaré Tulli . “L’administrateur du site a déclaré sur des forums publics que le chiffre d’affaires de Sipulitie était de 1,3 million d’euros”.
Par ailleurs, le Département de la police fédérale du Brésil (DPF) a annoncé avoir arrêté un pirate informatique en lien avec une série de cyberattaques qui ont piraté ses propres systèmes et ceux appartenant à d’autres institutions internationales.
Baptisée « Opération Data Breach », cette opération a vu l’exécution d’un mandat de perquisition et de saisie ainsi que d’un mandat d’arrêt préventif contre le défendeur dans la ville de Belo Horizonte suite à des allégations de fuite de données sensibles associées à 80 000 membres d’ InfraGard , un exercice de collaboration entre le gouvernement américain et les secteurs des infrastructures critiques.
L’individu anonyme, connu sous les noms d’USDoD et d’EquationCorp , a également été accusé d’avoir vendu des données de la police fédérale à deux reprises, le 22 mai 2020 et le 22 février 2022, ainsi que d’avoir divulgué des données d’Airbus et de l’Agence américaine de protection de l’environnement (EPA).