Ocak 2023’te kendilerini “Anonim Sudan” olarak tanımlayan bir siber suç grubu bilgisayar korsanı olarak ortaya çıktı. OpSweden ve OpDenmark dahil olmak üzere operasyonları boyunca, İslam dinine saygısızlık yapan kişilere karşı mücadele etme saikiyle belirli ülkeleri hedef aldılar.
Bununla birlikte, hacker kolektifinin geleneksel hacktivist gruplarla karşılaştırıldığında zıt operasyonel yöntemleri nedeniyle, Anonymous Sudan’ın gerçek bir hacktivist grup olarak gerçekliğine dair şüpheler ortaya çıktı.
Bu spekülasyonlar, saldırı altyapıları, siber saldırılarının zamanlaması ve Rusya ile iddia edilen bağlantıları ile ilgili önemli harcamalar hakkındaki endişelerden kaynaklandı.
Araştırmacılara göre, Avustralya kuruluşlarına yaklaşık 24 DDoS saldırısı gerçekleştiren Anonymous Sudan’ın ülkeye daha fazla siber saldırı başlatması bekleniyor. 24 DDoS saldırısı, Mart ve Nisan 2023 arasında başlatıldı.
Ve önümüzdeki aylarda daha fazla saldırıdan şüpheleniliyor.
Anonim Sudan bilgisayar korsanlığı mı yoksa Rusya yanlısı saldırılar mı?
Anonim Sudan, Mart 2023’te Fransa’daki üniversitelere, havaalanlarına ve sağlık kurumlarına yönelik siber saldırılar başlattı.
Gruptan bilgisayar korsanları, siber saldırılarını karikatür tasvirleri yoluyla İslam’ın dini figürlerinin aşağılanması algısına bağladılar. Eylemleri, NATO’ya ait olanlar da dahil olmak üzere çeşitli ülkelere yapılan siber saldırılardan elde edilen verileri tehdit etmek ve yayınlamaktı.
Ayrıca bilgisayar korsanlığı grubu, Filistin yanlısı davaları desteklemek ve İsrail birlikleri tarafından ezilen Filistinlilere destek göstermenin bir yolu olarak OpIsrael kampanyasını başlattı. Ayrıca Microsoft’a yönelik Dağıtılmış Hizmet Reddi (DDoS) saldırılarının şirketin ürün Outlook’unu etkilediğini doğruladığını iddia ettiler.
Microsoft’un hedef alınmasının nedenlerinden biri de ABD Dışişleri Bakanı Antony Blinken ile Suudi Arabistan yetkilileri arasında gerçekleşen ve diğer faktörlerin yanı sıra Sudan Silahlı Kuvvetlerine uygulanan yaptırımların tartışıldığı görüşme oldu.
OpAustralia ve Anonymous Sudan bilgisayar korsanlığı
Anonymous Sudan, 24 Mart ile 1 Nisan arasında havacılık, sağlık ve eğitim sektörlerine yönelik yaklaşık 24 DDoS saldırısı gerçekleştirdi. 17 Mart’ta başlatılan ve Avustralya’yı hedef alan kampanyaya opAustralia adını verdiler.
Araştırmacılar, kampanyanın muhtemelen dini amaçlarla yapıldığından ve Pakistanlı bir bilgisayar korsanlığı grubu tarafından yürütüldüğünden şüpheleniyorlar.
İsimsiz Sudan, Melbourne Moda Festivali’nde sergilenen ve Arapça yazılmış ‘Tanrı benimle yürür’ metnini içeren giysilere misilleme olarak Avustralya’ya daha fazla saldırı düzenlediğini iddia etti.
Anonymous Sudan’ın siber saldırılarının yanı sıra olay, diğer bilgisayar korsanlarının moda festivaliyle hiçbir ilgisi olmayabilecek yaklaşık 80 Avustralyalı kuruluşa siber saldırılar başlatmasına neden oldu.
Anonim Sudan’ın bilgisayar korsanlığı araştırmacılar tarafından sorgulanıyor
Anonymous Sudan’ın özgünlüğü üzerine CyberCX tarafından yazılan bir bloga göre, gerçek amaçlarını sorgulayan aşağıdaki noktalar vurgulandı:
-
Anonymous Sudan’ın siber saldırılarının zamanı
Bilgisayar korsanları çoğunlukla UTC 22:00 ile UTC 06:00 arasında çalışır. Ve siber saldırı iddialarının %80’den fazlası UTC 06:00 ile 18:00 arasında yapılmıştır. Zamanlamalar, birkaç Doğu Afrika ülkesi ve Moskova dahil olmak üzere Sudan ve Doğu Avrupa’nın çoğu ile uyumludur.
-
Anonymous Sudan tarafından bilgisayar korsanlığı için kullanılan ücretli altyapının maliyeti
Anonymous Sudan’ın DDoS trafiğini tespit edilmekten gizlemek için kullandığı proxy’ler, muhtemelen ücretli proxy hizmetleri aracılığıylaydı.
Ortak altyapısının yalnızca %2’si TOR çıkış düğümlerinden oluştuğundan, trafiği dağıtmak için TOR’a o kadar yanıt vermedi. Tam saldırı trafiği hacminin yaklaşık %33’ünün ücretli proxy ağlarından olduğu tahmin ediliyor.
Yılda 460 ABD Doları olan küresel ortalama hane gelirinin altına düşen bir ülke için, Sudanlı olduğunu iddia eden ve ayda yaklaşık 4000 Avustralya Doları yatırım yapan Anonymous Sudan, kökeni temelinde şüpheli hale getiriyor.
-
Anonim Sudan hacktivizmi, Rus motifleriyle uyumlu
Araştırmacılar, portallar üzerinde nispeten daha küçük bir etki için pahalı DDoS saldırılarının ardındaki nedenin, bilgisayar korsanının daha büyük bir hedefi olmayabileceğini savundu.
Dahası, grup, Ukrayna yanlısı uluslarla ittifak yapanları hedef alan Rus savaş stratejileriyle tutarlı kalan Batılı ülkeleri hedef alıyor ve araştırmacıların iddiasını daha da sağlamlaştırıyor.
-
Anonim Sudan tarafından kullanılan dil
Grup, Sudan halkını savunmak da dahil olmak üzere dini nedenlerle savaştığını iddia etse de, bilgisayar korsanları Arapça dilini ancak amaçları soru sormaya başladıktan sonra kullanmaya başladılar.
Anonymous Sudan, çeşitli kanallardaki gönderileri için öncelikle Rusça ve İngilizce dillerini kullanır. İlginçtir ki Arapça yayınlarını bu kanalların kurulmasından yaklaşık bir ay sonra yaptılar.
Araştırmacılar, Anonymous Sudan hacktivism’in bunun yerine Batı ülkelerinde ve diğerlerinde siber savunmanın maliyetini artırmaya yönelik bir giysi olduğunu iddia ediyor.
Onlar daha küçük bir grup veya sadece dinsel ve finansal olarak motive olmuş nedenlerle çalışan bir bireydir.
Ayrıca, Killnet grubunun Rus yanlısı bilgisayar korsanlarına bağlılıklarını açıkça gösterdiler ve siber saldırıları hakkında birbirlerinin kanallarında çapraz gönderiler yayınladılar.
Anonymous Sudan’ın bilgisayar korsanlığı hakkında araştırmacıların gözlemlediği şey
CyberCX araştırmacıları, “Anonim Sudan’ın, Rusya karşıtı ve Ukrayna yanlısı olan 2019 Anonim Sudan operasyonunun orijinal üyeleriyle bilinen hiçbir örtüşmesi yok” dedi.
Rapor ayrıca, tanınmış grup Anonymous’un Anonymous Sudan ile bağlantılı olmadıklarını açıklığa kavuşturduğunu belirtti.
Raporda, “CyberCX, Anonymous Sudan’ın tabandan gelen bir bilgisayar korsanlığı örgütü olmaktan ziyade muhtemelen bir birey veya küçük, koordineli bir grup olduğunu değerlendiriyor.”
Hacktivist grubun operasyonel yöntemleri de, sorun odaklı bilgisayar korsanları arasında yaygın olarak görülmeyen bir koordinasyon düzeyi sergiledikleri için sorgulandı.
Saldırı hedeflerini belirlemek için çevrimiçi olarak yarı halka açık tartışmalara katılan diğer bilgisayar korsanlığı gruplarının aksine, Anonymous Sudan farklı şekilde çalışır. Bunun yerine, aynı anda siber saldırılar başlatırken bir sonraki hedeflerini kamuoyuna duyururlar.
İsimsiz Sudan’ın Rusya ile Bağlantıları
Anonymous Sudan, Rus yanlısı Killnet grubuna desteğini alenen gösterdikten sonra, yakınlıklarının nerede olduğu konusunda çok az kafa karışıklığı kaldı. Anonymous Sudan ile Killnet grubu arasındaki operasyonların ve güvenin yakınlığını ifade eden birbirlerinin Telegram kanallarını kullanıyorlar.
Şubat 2022’den bu yana Rusya’nın elindeki Ukrayna’ya yönelik artan saldırıların, Rusya yanlısı birkaç bilgisayar korsanı kişiliğin oluşmasına yol açtığı gözlemlendi. Ukrayna ve müttefiklerini hedef alan daha aktif gruplardan bazılarının Killnet ve Anonim Rusya olduğu tespit edildi.
CyberCX raporuna göre, “Haziran ayında, Anonymous Sudan da dahil olmak üzere Killnet bağlantılı tehdit aktörleri, REvil ile birlikte Batılı finans kurumlarına ve SWIFT ağına DDoS dışı saldırılar başlatmayı planladığını duyurdu.”
Rusya merkezli grup REvil, Medibank’ta öne çıkan veri ihlali de dahil olmak üzere hedefinden zorla para aldı. Son birkaç ay içinde REvil’in darknet web sitesi neredeyse devre dışı kaldığında, Anonymous Sudan’ın faaliyetlerinin ilgisini çekmesi bir tesadüf. Ancak, iki grup arasında herhangi bir bağlantı iddialarını destekleyecek hiçbir kanıt bulunmadı.
Rus istihbaratı ve siber saldırı raporları
CyberCX raporu, Rus istihbaratının Rus yanlısı bilgisayar korsanlığı grupları ile bağlantılı olduğunu ileri sürdü.
Rapor ayrıca, “Killnet kolektifinin en azından bazı üyelerinin Rus devletiyle bağlantılı olma ihtimalinin yüksek olduğunu değerlendiriyoruz” diye ekledi. Bu, Anonymous Sudan’ın bilgisayar korsanlarına Rusya ile bağlantı kurma şansı getiriyor.
Nisan 2023’te bir Kanada gaz boru hattına yapılan siber saldırı, hassas ABD sinyal istihbaratını Rus yanlısı bilgisayar korsanlarına ve Killnet grubunun bir üyesi olan Zarya’ya ifşa etti. Böyle bir saldırının bir patlamaya yol açacağı tahmin ediliyordu.
Zarya’nın Rusya Federasyonu Federal Güvenlik Servisi’nden (FSB) gelen talimatlar için beklemede olduğundan şüpheleniliyordu. ABD gizli verilerinden sızdırılan brifing, Zarya’nın valf basıncını artırmak, alarmları devre dışı bırakmak ve tesisi acil bir şekilde kapatmaya başlamak için kontrollere sahip olduğunu iddia etti.
FSB’nin siber saldırılara karıştığı iddialarının gerçekliğini ele alan bir raporda, brifingde bilgisayar korsanlarının FSB’den olduğu varsayılan birinden talimat aldığına dair işaretler görüldüğü belirtildi.
Bir Zetter raporuna göre, bilgisayar korsanları Kanadalıya yeterince zarar verdiklerini iddia ettiler, ancak niyetleri can kaybına neden olmak değil, yalnızca Kanadalılar için gelir kaybına neden olmaktı.
Anonymous Sudan’ın öncelikle Batılı kuruluşları, özellikle hükümet, medya ve sağlık hizmetlerini hedef aldığı sonucuna varıldı. Anonymous Sudan’dan gelen bilgisayar korsanları, dini ve Sudanlı amaçlar için savaştıklarını iddia etseler de, periyodik olarak parasal kazanç arayışına giriyorlar.
Anonim Sudan, grubun bölgede siber saldırılar düzenlemesine yol açan Stockholm Kuran yakma olayından üç gün önce kuruldu. Araştırmacılar, Rus tehdit aktörlerinin bilgisayar korsanlarının faaliyetlerini diğerlerinin yanı sıra Avrupa uluslarını stratejik olarak hedef almak için kullandıklarından şüpheleniyor.
Batı toplumlarını kutuplaştıracak dezenformasyona neden oluyorlar. Ayrıca, Kuran’ın yakılmasına tanık olan Stockholm olayının Kremlin destekli medya kuruluşu Russia Today’e eski bir katkıda bulunan kişiyle bağlantılı olduğu tahmin ediliyor.