“Anonymous Sudan” ne mentait visiblement pas sur son origine. La justice américaine vient en effet de dévoiler l’inculpation de deux ressortissants soudanais, accusés d’être à la tête de ce groupe spécialisé dans les attaques en déni de service distribué (DDoS). Ce gang était actif depuis au moins le début de l’année 2023.
En France, “Anonymous Sudan” avait notamment été derrière l’attaque contre le réseau interministériel de l’Etat, en mars dernier. Il est visé à ce titre par une enquête judiciaire confiée à la DGSI, le service de renseignement intérieur. L’un des mis en cause avait également signalé sur Telegram vouloir s’en prendre au site tunisien de l’opérateur télécom Orange, selon l’acte d’accusation mis en ligne par la justice américaine.
Aux Etats-Unis, les pirates s’étaient attaqués à Microsoft, OpenAI, ou PayPal. Et même le ministère de la justice. Une action lancée peu de temps avant l’arrestation des deux suspects, aux alentours du 20 mars.
Promotion de leur service malveillant
Autant d’attaques fortement médiatisées teintées d’hacktivisme. Le gang revendiquait ainsi une proximité avec le groupe pro-russe Killnet. Mais elles visaient vraisemblablement surtout à faire la promotion de leur outil de déni de service. Ce dernier était loué sous différentes appellations, de “Godzilla” à “SkyNet” en passant par “InfraShutDown”.
Les attaques DDoS visent à saturer de requêtes un serveur ou un réseau de façon à empêcher les accès légitimes. Il ne s’agit donc pas d’une intrusion informatique. C’est une façon de porter atteinte, en entravant les messageries ou l’accès à un service en ligne, à l’image des organisations visées.
Comme le rappelle l’agence Europol dans son communiqué, l’infrastructure d’Anonymous Sudan a été utilisée pour lancer plus de 35 000 attaques en déni de service. Elles se seraient soldées par un préjudice de dix millions de dollars pour les victimes américaines, selon le décompte de ces dernières.
Serveurs dans le cloud
Pour l’entreprise de cybersécurité CrowdStrike, le succès de l’entreprise criminelle reposait sur “une infrastructure d’attaque sur mesure hébergée sur des serveurs loués avec une bande passante élevée”. Mais aussi sur “des techniques sophistiquées pour contourner les services d’atténuation des attaques DDoS et la capacité d’identifier et d’exploiter rapidement les points de terminaison d’API vulnérables”.
Contrairement au nom de leurs outils, qui faisaient référence à un botnet, le service malveillant d’“Anonymous Sudan” s’appuyait sur des serveurs nichés dans le cloud. L’un des cadres d’Amazon a ainsi signalé sur LinkedIn les efforts de l’entreprise pour faire fermer l’infrastructure du gang.
Pour arrêter les suspects, le FBI avait notamment lancé une opération d’infiltration, en se faisant passer pour un acheteur intéressé par le service malveillant. Leurs interlocuteurs leur avaient alors confirmé que l’outil était le même, quel que soit son nom. Ceux qui souhaitaient accéder à ce service malveillant devaient alors débourser 100 dollars par jour, 600 dollars pour une semaine ou 1700 dollars pour un mois.
Trois autres suspects
Aidés par PayPal, les enquêteurs américains ont fini par identifier l’un des deux frères. L’entreprise de paiement américaine avait remarqué des comptes suspects après avoir été victime d’une attaque en déni de service. Des adresses IP collectées sur des serveurs utilisés par “Anonymous Sudan” avaient également mené à la messagerie d’un de deux suspects.
Âgés de 22 ans et de 27 ans, Ahmed Salah Yousif Omer, alias “WilfordCEO”, “Zac”, ou “Soldi01”, et Alaa Salah Yusuuf Omer, ont été interpellés dans un pays non précisé. Comme la presse américaine le signale, l’un d’entre eux risque la prison à vie, la faute à une attaque DDoS contre un hôpital assimilée à une action visant à causer des blessures ou la mort.
Un dossier pas encore clos. Trois autres suspects sont en effet toujours dans le collimateur de la justice américaine.