Des documents du grand jury récemment déclassifiés révèlent que deux ressortissants soudanais auraient tenté de lancer des milliers d'attaques par déni de service distribué (DDoS) sur des systèmes du monde entier. Les documents affirment que ces piratages visaient à causer de graves dommages financiers et techniques aux agences gouvernementales et aux entreprises, et même, dans certains cas, à causer des dommages physiques.
Le ministère américain de la Justice (DoJ) a annulé les accusations portées contre Ahmed Salah Yousif Omer et Alaa Salah Yusuuf Omer, qui ont donné lieu à des poursuites devant un tribunal fédéral. Ils auraient été liés à plus de 35 000 attaques DDoS contre des centaines d'organisations, de sites web et de réseaux dans le cadre d'un programme de "hacktivisme" dans le cadre du groupe de cybercriminalité Anonymous Sudan et d'un service de cyber-attaque à but lucratif.
Bien qu'Anonymous Sudan ait affirmé être un groupe d'activistes, ils ont également extorqué de l'argent à certaines entreprises et systèmes d'institutions en demandant des rançons allant jusqu'à 1 700 dollars par mois.
Tous deux sont poursuivis pour leur rôle dans les cyberattaques coordonnées, y compris une accusation de complot visant à endommager des ordinateurs protégés pour chacun d'entre eux. Ahmed est également accusé de trois autres chefs d'accusation de dommages à des ordinateurs protégés et pourrait être condamné à une peine d'emprisonnement à vie, selon des documents judiciaires déposés en juin dernier auprès de la Central District Court of California aux États-Unis.
Les activités des frères remontent au début de l'année 2023. Ils ont utilisé un outil d'attaque distribué en nuage (DCAT), appelé "Skynet Botnet", pour "mener des attaques DDoS destructrices et s'en vanter publiquement", selon un communiqué du ministère de la Justice. Ahmed a posté un message sur le canal Telegram d'Anonymous Sudan : "Les États-Unis doivent être préparés, ce sera une très grosse attaque, comme ce que nous avons fait en Israël, nous le ferons 'bientôt' aux États-Unis".
Dans l'un des actes d'accusation, 145 "actes ouverts" ont été répertoriés contre des organisations et des institutions aux États-Unis, dans l'Union européenne, en Israël, au Soudan et aux Émirats arabes unis (EAU). Les attaques de botnet Skynet visaient à perturber les services et les réseaux dans les aéroports, dans les réseaux de logiciels et dans des entreprises telles que Cloudflare, X, Paypal et Microsoft, ce qui a entraîné des pannes d'Outlook et de OneDrive en juin dernier. Les attaques ont également visé des agences et des sites web fédéraux et d'État, dont le Federal Bureau of Investigation (FBI), le Pentagone et le ministère de la justice, et même des hôpitaux, dont une attaque de grande envergure contre le Cedars-Sinai Hospital de Los Angeles, qui a entraîné un ralentissement des services de santé, les patients étant redirigés vers d'autres hôpitaux. L'attaque de l'hôpital a conduit aux accusations de piratage contre Ahmed, qui pourraient potentiellement entraîner des peines de prison à vie.
"Plus de trois heures et toujours en main", a posté Ahmed sur Telegram en février, "ils essaient désespérément de régler le problème, mais sans succès. Si nous bombardons vos hôpitaux à Gaza, nous fermerons les vôtres aussi, œil pour œil ...".
Les agents spéciaux du FBI ont recueilli des preuves des activités illégales du couple, notamment des journaux montrant qu'ils vendaient l'accès au botnet Skynet à plus de 100 clients pour lancer des attaques contre diverses victimes, en collaboration avec des enquêteurs tels que Cloudflare, Crowdstrike, Digital Ocean, Google, PayPal et d'autres.
Plusieurs clients d'Amazon Web Services (AWS) ont fait partie des victimes d'Anonymous Sudan dans le cadre du programme Hacking-for-Hire, selon des documents judiciaires et une déclaration d'AWS. Les équipes de sécurité d'AWS ont collaboré avec les enquêteurs du FBI spécialisés dans la cybercriminalité pour remonter jusqu'à "un certain nombre de serveurs basés sur le cloud", dont beaucoup étaient basés aux États-Unis. Cette découverte a aidé le FBI à déterminer que les attaques de botnet Skynet provenaient d'un DCAT et non d'un botnet qui transmettait les attaques DDoS à ses victimes via des serveurs basés sur le cloud et des résolveurs proxy ouverts.
L'attaque la plus audacieuse et la plus dangereuse du groupe a peut-être eu lieu en avril 2023 et visait le système israélien d'alerte aux missiles "Red Alert". L'application mobile fournit des mises à jour en temps réel sur les attaques de missiles et les menaces de sécurité. Les attaques DDoS ont tenté d'infiltrer certains des domaines Internet de Red Alert. Ahmed a revendiqué les attaques de Red Alert contre Telegram ainsi que des attaques DDoS similaires contre des entreprises de services publics israéliennes et le site d'information Jerusalem Post.
"Les attaques de ce groupe ont été menées de sang-froid et avec audace - les accusés sont même allés jusqu'à attaquer des hôpitaux qui fournissent des soins d'urgence et des traitements urgents aux patients", a déclaré le procureur américain Martin Estrada dans une déclaration publiée. "Mon bureau s'engage à protéger l'infrastructure de notre nation et les personnes qui l'utilisent, et nous tiendrons les cybercriminels responsables des graves dommages qu'ils causent".
