У швидкоплинному світі кіберпідпілля пов’язаний з Росією Anonymous Sudan став грізним зловмисником, взявши на себе відповідальність за приголомшливі 63% від загальної кількості ідентифікованих DDoS-атак, приписуваних проросійській групі KillNet у 2023 році (Mandiant). Особливий інтерес викликає їх зосередження на американських та європейських організаціях, що викликало інтриги та скептицизм щодо їхніх справжніх намірів та особистості.
Наприкінці червня я встановив контакт з Anonymous Sudan і розпочав дво з половиною тижні обміну, сподіваючись пролити трохи світла на їхні операції та мотивацію. Традиційно обачні, вони погодилися на інтерв’ю Intel Cocktail за умови, що я буду в парі з медіа-організацією чи особистістю з великою аудиторією для сприяння суспільній славі. Я брав інтерв’ю з Джо Тіді з BBC через Telegram.
Незважаючи на стислість і проникливість Anonymous Sudan у відповідях на наші запитання, їх мотиви містять повчальні відкриття.
Інтрига зав’язалася одразу. Спочатку їхній представник «Crush» здавався спокійним щодо початку та тривалості інтерв’ю, але через кілька годин він висловив наполегливість, заявивши: «Сподіваюся, ви можете поспішити з запитаннями, тому що Інтернет може бути відключений у будь-який момент». Імовірно, це був прийом, щоб відвернути їхню російську ідентичність, частиною приводу для того, щоб зобразити себе суданськими кібервоїнами, які зараз стикаються з нестабільністю у своїй країні. У ході нашої розмови стало зрозуміло, що група, яка зламала уряд США, Моссад і веб-сайти Microsoft, не зазнала таких збоїв.
Під час мого першого контакту з групою спілкування відбувалося виключно суданською арабською мовою. Після того як ми надіслали перший набір запитань, Crush запитав, чи хочемо ми отримувати відповіді сучасною стандартною арабською (MSA) чи суданським діалектом. Повідомляючи, що будь-який із варіантів підходить, Crush пообіцяв відповісти за кілька хвилин, які перетворилися на години, що є загальною темою для інтерв’ю. Crush часто підтверджував отримання запитань швидко, але відповіді займали години або дні, залежно від того, наскільки допитливими були наші запитання, що, можливо, вказувало на консультацію з більшою командою. Крім того, він відповів на всі запитання досить гарною англійською, що цікаво, враховуючи його попереднє запитання.
Відповідаючи на питання про особу групи та приналежність до міжнародного хактивістського колективу «Anonymous», Краш уточнив: «Ми називаємо себе Anonymous Sudan просто тому, що ми всі з Судану. У нас немає жодних посилань на Anonymous».
Їхні довгострокові цілі є амбітними, вони зосереджені на демонстрації можливостей суданського народу, переконано заявляючи, що «суданський народ, хоча й має обмежені можливості, має дуже хороші навички в багатьох різних галузях. Ми створили групу, щоб захищати Істину, Іслам, Судан і будь-яку справу, яка, на нашу думку, узгоджується з Істиною, атакуючи кожного, хто виступає проти цих 4 питань».
За даними постачальника рішень для кібербезпеки Radware, атаки, здійснені Anonymous Sudan, відбуваються з десятків тисяч унікальних IP-адрес, а трафік UDP досягає величезних 600 Гбіт/с. 30 квітня в офіційному дописі в Telegram-каналі Anonymous Sudan стверджувалося, що вони можуть виконати атаки рівня додатків 7 із «35 мільйонами запитів на секунду», а також атаки транспортного рівня 4 із залученням трафіку «4 ТБ UDP» і «1,7 ТБ SYN».
Коли його запитали про фінансування їхніх атак, Crush заявив, що для них пріоритетом є технічні навики, а не фінансування, пояснивши: «Фінансування наших атак не є пріоритетом. Наявності необхідних навичок більш ніж достатньо. Фінансування лише допоможе нам збільшити ефект від наших атак, але у нас є необхідні навички, щоб працювати з тим, що є».
«Всі операції вивчені, і у нас є план, якого слід виконувати. Що стосується інфраструктури, то це залежить від мети», — неохайно заявили вони, коли їх попросили пояснити свою діяльність. Вони підкреслили колективний характер своєї групи, коли їх запитали про склад і динаміку їхньої групи, заявивши: «Наше географічне розташування не має значення. Найголовніше те, що всі ми суданці. Ми спілкуємось один з одним щодня, а щодо координації – це залежить від того, що відбувається у світі. Наприклад, коли Ізраїль завдасть удару по Палестині, ми змінимо нашу ціль і зосередимося на Ізраїлі, щоб підтримати Палестину всім, чим зможемо».
Коли його попросили детально описати їх тактику, техніку та процедури (TTP), Краш відповів: «Це залежить від цілі, якщо потрібна атака L4, ми робимо це, якщо потрібна атака L7, ми робимо це. І якщо для цього потрібні інші форми атак, ми це теж робимо».
Щодо розробки ботнетів та інших експлойтів, Anonymous Sudan показали, що вони не передають атаки третім сторонам, але все ж надали мало деталей, щоб зрозуміти їхні методи з технічної точки зору, додавши: «Ми розробляємо власні методи атак і ми оновлюємо їх щотижня, якщо це необхідно. Наприклад, якщо компанія, яку ми націлюємо, покращила свій захист, ми оновлюємо наші атаки аналогічно, щоб мати можливість правильно атакувати цю ціль», — поділився Crush, вказавши на надмірні технічні можливості та спритність.
Звертаючись до звинувачень у участі в російській кібервійськовій кампанії, Anonymous Sudan рішуче заперечує будь-який такий зв’язок: «Всі ці заяви безпідставні та брехливі, ми іноді пишемо російською просто тому, що на нашому каналі багато росіян», — стверджували вони.
Неприязнь групи до держсекретаря США Ентоні Блінкена – включена в численні заяви про атаку на американські веб-сайти з #FUCK_ANTHONYBLINKEN – пояснюється так: «Ентоні Блінкен хоче втрутитися у справи Судану, і ми атакуємо будь-яку іноземну країну, яка спробує втрутитися». у наших внутрішніх справах».
Ми протистояли Anonymous Sudan щодо їх невибіркового нападу на критично важливу інфраструктуру, що суперечить типовому «етикету чорних капелюхів». Вони захищали свої дії, заявляючи: «Причина, чому ми вдаряємо по інфраструктурі, полягає в тому, щоб навчити країні та її правителям урок, і так, у нас є червоний лінії, тобто якщо наші атаки завдадуть шкоди багатьом невинним». Але, як ми всі знаємо, видалення американських, австралійських, датських, французьких, ізраїльських, кенійських та ізраїльських веб-сайтів лікарень – що група вже робила раніше – може вже «зашкодити багатьом невинним».
Ми змінили розмову, поставивши разом два пробних запитання:
- «Раніше ви назвали Зеленського лицеміром. Що ваша група думає про Володимира Путіна?»
- «Як самопроголошені релігійні хакери, які захищають іслам і нападають на будь-кого на шляху ісламу, ви ніколи не критикували, наприклад, невибіркове російське бомбардування в Сирії, як випадковий авіаудар минулого тижня по овочевому ринку, який забрав життя невинних мирних жителів. Чи засуджуєте ви такі атаки та інші напади Росії на цивільних мусульман у Сирії?»
У відповідь вони туманно заявили: «Ми не підтримуємо особисто Путіна. Ми підтримуємо лише те, що є правильним. Цю логіку можна використати, щоб відповісти на обидва запитання». Поглиблюючи це питання, ми знову запитали, чи засуджують вони російські бомбардування невинних мирних мусульман у Сирії. Цього разу, через кілька годин після отримання сповіщень про прочитання на це запитання, вони цікаво відповіли: «Звичайно, ми це засуджуємо, це не повинно ставитися під сумнів». Як релігійні мусульманські хактивісти, чому вони спочатку ухилялись і не засуджували всі напади з першого разу?
Під час інтерв’ю розгорталося повстання Вагнера, і Anonymous Sudan заявив про підтримку Кремля. Через свій офіційний канал Telegram група заявила: «Російська армія повинна перемогти це повстання» і: «Наші серця з Росією». Ми запитали їх, чому мусульманська суданська група так залучена у справи Росії. Краш відповів: «Нам байдуже чи зосереджено на російських справах, але подібне сталося з нашою країною, і росіяни підтримали нас, тому ми хотіли відплатити їм». Звичайно, несподівана позиція підтримки тієї ж Росії, яка щойно бомбила мирних мусульман у Сирії!
Ми також наполягали на самопроголошених захисниках ісламу щодо відсутності нападів на Китай через погане поводження з 1 мільйоном мусульман-уйгурів, і стало зрозуміло, що керівники Anonymous Sudan досягли свого (дуже низького) порогу прийнятного зондування. Crush негайно закінчив інтерв’ю, заявивши: «Ми вважаємо, що вже наданих запитань і відповідей достатньо. Ми не будемо відповідати на нові питання. Я вважаю, що цього достатньо, оскільки є запитання, які повторюються, і ми вже на них відповіли, але ви хочете отримати конкретну відповідь, і я це розумію».
Чи може Anonymous Sudan справді бути досвідченими суданськими кібервоїнами серед внутрішньої боротьби в Судані, чи це триваюча розумна російська операція, спрямована на те, щоб зберегти правдоподібне заперечення як захисників ісламу, завдаючи ударів по Заходу? Докази, здається, вказують на останнє, тоді як справжня особа та подробиці цієї невловимої групи залишаються оповитими темрявою.
