Anonymous Sudan: האקטיביסטים דתיים או תת-קבוצה רוסית?
קבוצות תקיפה או שחקני איום מתמידים (APT) הם שחקנים בעלי אופי התקפי ובעלי מיומנות ומשאבים המאפשרים להם להריץ פעולות התקפיות במטרה לחדור לרשתות ארגוניות ולגרום לנזקים. APTs משתמשים במגוון טכניקות, טקטיקות וכלים – כגון התקפות כופר, ניצול חולשות ועוד כדי להשיג את המטרות שלהם.
ישנם שחקנים שעובדים לבדם, ישנם כאלה המשתפים פעולה במקרים מסוימים ואף כאלה שהם חלק מתוך קבוצה קיימת, ותתי-קבוצות המבוססים במדינות מסוימות. לכן, גורמים שונים בהם רשויות ממשלתיות רבות כמו הסוכנות לאבטחת סייבר ותשתיות (CISA) קישרו התקפות לקבוצות APT – כאשר לחלקן יש קשרים למדינות לאום ספציפיות המשתמשות בהן כדי לקדם את האינטרסים של ארצם. אחת מתוך כל אותן קבוצות היא – Anonymous Sudan.
קבוצת אנונימוס סודן ידועה בביצוע מתקפות סייבר מסוגים שונים, כולל מניעת שירות (DDoS) ומתקפות השחתה, ובנטילת אחריות על מתקפות אלה באמצעות הצהרות פומביות ופוסטים ברשת בעיקר בטלגרם ובטוויטר. המניעים והמטרות של אנונימוס סודן אינם ברורים במיוחד, אך לעתים קרובות נראה כי פעולותיהם מכוונות להעלאת המודעות לנושאים פוליטיים וחברתיים. מאז החלה מלחמת רוסיה-אוקראינה, הקבוצה טוענת שהיא תומכת במטרה הרוסית, ולכן, היא תוקפת לעתים קרובות מטרות אוקראיניות או בעלות ברית.
מבחינה היסטורית, אנונימוס סודן מציינת אירועים גיאופוליטיים שהיא תופסת כאנטי-מוסלמיים כסיבות וזרז להתקפות DDoS. אנונימוס סודן החלה לתקוף ישויות דניות בפברואר 2023, והמשיכה לעשות זאת במהלך מרץ 2023. כמו גם, החלה לתקוף ישויות צרפתיות באמצע מרץ 2023 וציינה את "הקריקטורה האנטי-מוסלמיות בצרפת" כזרז להתקפות DDoS שהריצה בימים שלאחר מכן. קבוצות האקטיביסטים פרו-רוסיות רבות מונעות מאגו ולכן פירסמו באופן היסטורי הן סיקור מאומת והן לא מאומת על ההתקפות לכאורה שלה.
בחודשים האחרונים נשמעות טענות כי אנונימוס סודן היא למעשה תת-קבוצה רוסית. בשלב זה, אין מספיק ראיות מוצקות וחותכות שיכולות לקשר ישירות בין הקבוצה לישויות רשמיות רוסיות כפי שקורה עם קבוצות תקיפה רוסיות אחרות מוכרות, כמו APT28 או APT29.
עם זאת, צלילה עמוקה יותר לתוך הקבוצה מצביעה על אפשרות חזקה מאוד שאנונימוס סודן היא תת-קבוצה של קבוצת Killnet, קבוצה שעמה אנונימוס סודן יישרה קו באופן פומבי – לפי גורמים מסוימים. נכון לימים אלה, אין אפשרות לאשר שהקבוצה מבוססת בסודן, וגם לא אם מישהו מחבריה הוא מאותה מדינה, אבל בהתבסס על הראיות הקיימות, נראה די סביר שאנונימוס סודן הוא פרויקט של Killnet, אולי כולל כמה חברים במזרח אירופה.
רוב המידע הציבורי והכללי אשר זמין באנונימוס סודן מגיע מערוץ הטלגרם של הארגון, שנוצר בתחילת 2023, ימים ספורים לפני שפתח במתקפה הראשונה שלו. כאן, לטענת הארגון, המתקפות מתבצעות בתגובה לפעילות אנטי-מוסלמית שהתרחשה במדינות היעד ובתמיכה בהאקרים רוסים שאלה בתורם תומכים בסודן.
למשל, בין ה 16 במרץ ל 23 במרץ 2023, אנונימוס סודן וקבוצת Killnet – לקחו אחריות על מספר התקפות DDoS והשחתת אתרים לא מאומתות. המטרות האחרונות של Killnet למתקפות סייבר כללו את ממשלת לטביה, נאס"א, ועוד. בינתיים, אנונימוס סודן קיבלה אחריות על התקפות DDoS רבות בצרפת שכוונו נגד בתי חולים, אוניברסיטאות, שדות תעופה וארגונים ציבורים כולל משטרת צרפת, משרד המשפטים ומשרד הפנים.
אנונימוס סודן מתרכזת במטרות ספציפיות לפרקי זמן קצרים, אך במקרים מסוימים לפרקי זמן ממושכים.
חשוב לציין כי הפעילות הגדולה יותר של קבוצת אנונימוס הכחישה כל קשר עם אנונימוס סודן בערוץ הטלגרם של הארגון.
Anonymous Operations הוא ערוץ הטלגרם של קבוצת אנונימוס הרחבה. על פי אתר האינטרנט של הקבוצה: אנונימוס הוא קולקטיב של פעילים מקוונים ולא מקוונים העוסקים בפעולה ישירה, האקטיביזם ופעולות דיגיטליות ופיזיות חתרניות אחרות. הקבוצה נוסדה בשנת 2003. לאנונימוס אין הנהגה רשמית או חברות רשמית, אלא היא פועלת כרשת מבוזרת של אנשים בעלי אינטרסים דומים.
השאלה היא האם אנונימוס סודן היא תת-קבוצה או רק פועלת בשיתוף עם קילנט עשויה להיות מוטעית. ההתקפות של אנונימוס סודן עלולות לשבש פעולות ממשל, מתקני בריאות ושירותי שדות תעופה, מה שעלול להוביל לתוצאות חמורות. הקבוצה לקחה קרדיט על מספר התקפות ופרסמה איומים נגד מגוון רחב של מטרות.
הפעילות הראשונה של הקבוצה התמקדה במשאבים ממשלתיים וחברות שוודיות כתגובה לשריפת הקוראן בסטוקהולם. שבדיה העניקה מאות מיליוני דולרים בסיוע צבאי לאוקראינה, כולל ארטילריה מתקדמת ונשק הגנה אווירית.
צרפת נמצאת גם היא על הרדאר של אנונימוס סודן, כאשר הארגון מבטיח לפגוע במדינה זו בשל פעילות אנטי-איסלאמית. כמו מטרות מתקפה אחרות, צרפת הייתה ספקית מרכזית של סיוע כספי וציוד צבאי לאוקראינה.
מקרה נוסף הוא נגד תשתיות הממשל ההולנדי, כתגובה על שריפת הקוראן באנסחדה, עיר בהולנד. גם ממשלת הולנד תרמה לאוקראינה.
במקרים אחרים, הקבוצה היתה מעורבת בהתקפות DDoS אחרות. כך למשל, אנונימוס סודן מנסה למכור מידע שהתקבל מאתר אייר פראנס. כהוכחה למתקפת אייר פראנס, אנונימוס סודן פרסמה נתונים המכילים מיילים וסיסמאות. חלקם שייכים או הוזכרו בהדלפות קודמות.
האם אנונימוס סודן היא Killnet?
ישנם רמזים רבים שהותירה אחריה אנונימוס סודן המצביעים על כך שהקבוצה קשורה בדרך כלשהי לקילנט או משתפת איתה פעולה. האינדיקטור העיקרי הוא שווקטור ההתקפה המועדף על אנונימוס סודן הוא התקפות DDoS, סוג ההתקפה שקבוצת קילנט מבצעת. ראיות נסיבתיות נוספות המצביעות על קשר רוסי הן שהפוסטים האנונימיים בטלגרם של סודן הם ברובם ברוסית (חלקם באנגלית), והמטרות הן כולן מדינות התומכות באוקראינה במאבקה נגד רוסיה.
עם זאת, נראה שקבוצת לקילנט אישרה את הקשר שלה לאנונימוס סודן כאשר הקולקטיב פרסם צילומי מסך מאנונימוס סודן בערוץ הטלגרם של קילנט. כידוע, אחת המשימות העיקריות של קילנט היא תמיכה ברוסיה יחד עם הפלישה לאוקראינה, והארגון למעשה תקף את תומכי אוקראינה.
לסיכום
אנונימוס סודן פעילה מאוד ולוקחת קרדיט על ההתקפות דרך ערוץ הטלגרם שלה, אך הפרטים לגבי ההיגיון האמיתי מאחורי מאמציה נותרו עדיין מעט מעורפלים. למרות שהקבוצה יישרה קו בפומבי עם הארגון הרוסי Killnet, אך מסיבות שרק מפעיליו יודעים, מעדיף להשתמש בסיפור ההגנה על האיסלאם כסיבה להתקפותיו.
פעילות חדשה עבור אנונימוס סודן היא גניבה ומכירה של נתונים, כפי שניתן לראות במתקפת אייר פראנס. למרות שזה עשוי להיראות כמו אבולוציה של סוגי ההתקפות של הקבוצה, התקפות DDoS כרגע נשאר הנורמה. רק ימים יגידו אם אנונימוס סודן תמשיך בסגנון ההתקפה המקובל שלה או שהארגון ישלב אמצעי התקפה מגוונים יותר.
עוד על הקבוצה בקישור הבא Anonymous Sudan – Publish 1.2 – a Truesec Report.pdf
מידע נוסף על קבוצות תקיפה
How Microsoft names threat actors
