Nelle ultime ore il nome Anonymous Sudan è salito agli onori della cronaca per aver colpito con successo le infrastrutture di due colossi, OpenAI e Cloudflare.
Ha reso ChatGpt indisponibile per 90 minuti, con Ddos, mercoledì.
Ma chi sono gli hacker dietro il collettivo Anonymous Sudan, che ha rivendicato l’attacco ufficialmente? E perché hanno attaccato un servizio così popolare?
Indice degli argomenti
Chi sono gli Anonymous Sudan, che hanno colpito ChatGpt
È importante sottolineare che il gruppo non ha alcun legame con il popolare collettivo Anonymous, pur presentandosi come un gruppo di hacktivisti.
Figura – Canale Telegram Anonymous Sudan
Il gruppo è attivo dal gennaio 2023 e sostiene di prendere di mira qualsiasi paese che sia contro il Sudan. Tuttavia, diversi ricercatori ritengono che Anonymous Sudan sia un sottogruppo del collettivo filo-russo Killnet attivo dall’inizio dell’occupazione dell’Ucraina da parte della Russia, probabile abbia anche legami con il governo russo.
Come Killnet, Anonymous Sudan si è distinto per attacchi di tipo DDoS contro obiettivi che è solito annunciare attraverso il suo canale Telegram.
Tra le vittime illustri del collettivo vi è Microsoft, che in giugno ha subito gravi interruzioni di alcuni dei suoi servizi, tra cui la posta elettronica di Outlook, l’app di condivisione file OneDrive e l’infrastruttura di cloud computing Azure.
A settembre, Anonymous Sudan ha lanciato un attacco DDoS contro Telegram dopo che la società aveva sospeso l’account del gruppo.
Arrivando ai giorni d’oggi, in cui il gruppo ha bloccato i servizi della popolare chatbot ChatGPT ed ha reso irraggiungibile per un tempo limitato il sito web dell’azienda di sicurezza Cloudflare.
Perché ha attaccato ChatGpt
Il gruppo prende di mira aziende che reputa operino per conto di governi occidentali e che ne condividano le politiche espansionistiche.
Nella rivendicazione dell’attacco ad OpenAI, Anonymous Sudan ha spiegato di aver colpito l’azienda rea di una cooperazione con lo stato invasore Israele e dell’intento del fondatore di OpenAI di investire di più in Israele. Il collettivo inoltre evidenzia come l’intelligenza artificiale è utilizzata nello sviluppo di armi e da parte di agenzie di intelligence come il Mossad, e che Israele impiega l’intelligenza artificiale per opprimere ulteriormente il popolo palestinese.
Infine, il gruppo di dichiara ostile ad OpenAI inquanto azienda americana, e le aziende statunitensi sono tutte nel mirino del gruppo.
Si noti che gli obiettivi del gruppo sono tutte realtà multinazionali che sappiamo dedicare grossi investimenti in cyber sicurezza. Nonostante ciò, gli attacchi di DDoS, seppur per periodi limitati, sono riusciti ad interferire con le loro operazioni.
Come riesce a lanciare attacchi DDoS tanto potenti?
Come è possibile tutto ciò?
Gli attacchi DDoS, grazie a tecniche di amplificazione, stanno diventando sempre più potenti. Di recente la stessa azienda Cloudflare ha annunciato di aver mitigato 89 attacchi che hanno superato i 100 milioni di richieste al secondo (rps), con l’attacco più grande che ha raggiunto il picco di 201 milioni di rps, ovvero tre volte superiore rispetto al precedente attacco più grande mai registrato (71 milioni di rps). Questi attacchi hanno sfruttato la vulnerabilità HTTP/2 Rapid Reset (CVE-2023-44487), una metodica di amplificazione scoperta di recente.
Tuttavia, ad oggi non ci risulta che Anonymous Sudan abbia usato queste tecniche, stando alle dichiarazioni del collettivo, gli attacchi utilizzano botnet come Skynet e Godzilla per generare grandi volumi di traffico.
La botnet Skynet è stata scoperta per la prima volta nel 2012 e da allora è cresciuta fino a diventare una delle botnet più grandi al mondo. Si stima che Skynet abbia infettato oltre 1 milione di dispositivi in tutto il mondo.
La botnet Godzilla è attiva almeno dal 2021, è stata utilizzata per lanciare attacchi DDoS (Distributed Denial of Service) su larga scala, nonché per rubare credenziali di accesso ed estrarre criptovaluta. Si stima che la botnet Godzilla abbia infettato oltre 100.000 dispositivi in tutto il mondo ed è in grado di generare oltre 100 gigabit al secondo di traffico DDoS.
La forza di Anonymous Sudan risiede quindi nella disponibilità di queste botnet, veri e propri super cannoni pronti a colpire i suoi obiettivi.
Quali sono le implicazioni future?
Anonymous Sudan continuerà ad operare come fatto fino ad oggi, prendendo di mira aziende occidentali probabilmente su indicazioni dell’intelligence Russa. Le nuove tecniche di amplificazione consentiranno al gruppo di lanciare attacchi sempre più potenti. Questi attacchi rappresentano un serio pericolo soprattutto per le infrastrutture critiche e servizi essenziali come quelli di allerta alla popolazione.
Per contrastare l’azione di questi gruppi è fondamentale smantellare queste botnet attraverso operazioni internazionali da parte delle forze di polizia. Solo così si potrà realmente disarmare il collettivo.
Purtroppo, allo stato attuale, tante, troppe infrastrutture critiche nazionali non possono evidentemente reggere ad attacchi come quelli lanciati da collettivi come Anonymous Sudan. È pertanto importante valutare con attenzione il perimetro esposto e ridurre per quanto possibile la superficie di attacco.
