Evropská investiční banka se stala dne 19. června 2023 terčem DDoS útoku ze strany aliance tvořené proruským hacktivistickým hnutím KillNet a Anonymous Sudan. Dle vyjádření na telegramovém kanálu skupiny KillNet by infrastruktura EIB měla být “nefunkční” po dobu deseti dní.
Útok s velkou pravděpodobností souvisí se sérií rozsáhlých kybernetických útoků proti evropským finančním institucím ze strany proruských hacktivistů navazujících na evropskou podporu Ukrajiny v souvislosti s poskytnutím 100 milionů dolarů na opravy dopravní a energetické infrastruktury, která doplní finanční prostředky poskytnuté Evropskou unií v rámci fondu EU4Ukraine.
Samotnému útoku předcházelo několik veřejných prohlášení KillNetu, Anonymous Sudan a REvil, zveřejněných na jejich telegramových kanálech a kanálu Mash, jež informovaly o cílení na finanční instituce. Politické ambice útočníků shrnuje prohlášení “žádné peníze – žádné zbraně – žádný kyjevský režim”.
Další oznámení přišlo ve formě tzv. “společného rozhodnutí č. 0191”, které bylo schváleno na setkání hlavních představitelů ruských hackerských skupin KillNet, REvil a Anonymous Sudan v Darknet parlamentu, jehož existenci oznámila skupina Killnet, o “zavedení sankcí” proti evropskému systému bankovních převodů (SEPA, SWIFT, WIRE, WISE).
Vektor útoku – KillNet, Anomnymous Sudan, REvil
Skupina KillNet i Anonymous Sudan provádí útoky typu DDoS, jež jsou cílené na webové stránky významných vládních institucí, letišť, dodavatelů energií a bankovního sektoru.
Kromě tradičních útoků DDoS byly nově zaznamenány i útoky typu brute-force na běžně dostupné porty TCP, včetně portů 21 (FTP), 80 (HTTP) a 22 (SSH), jejichž cílem bylo získání přihlašovacích údajů. Útoky se opíraly především o techniky slovníkového útoku a zaměřovaly se na často používané přihlašovací údaje. Nejčastějšími cíli byla uživatelská jména “root” a “postgres”.
Ransomwarové útoky, které se zaměřují na významné organizace po celém světě, jsou doménou skupiny REvil. Ta je známá tím, že využívá phishingové útoky a exploity k získání počátečního přístupu.
Kdo je skupina Anonymous Sudan a co má společného s KillNetem?
Anonymous Sudan představuje neobvyklou hrozbu. Když hovoříme o kyberzločineckých skupinách, spojujeme je s finančním ziskem, zatímco když mluvíme o APT, jedná se o naplňování aktivit spojených s cizí vládou. Anonymous Sudan však nelze jednoznačně zařadit mezi žádnou z výše uvedených skupin a zároveň ani mezi klasické hacktivistické skupiny už z toho důvodu, že při svých útocích využívá finančně nákladnou síťovou infrastrukturu tvořenou placenými proxy servery a cloudovou infrastrukturou, která není pro hacktivistické skupiny typická. Zároveň Anonymous Sudan při svých útocích deklaruje konkrétní cíle, což naznačuje, že jejich operace jsou dopředu pečlivě připravené.
Skupina vznikla na začátku roku 2023 a – jak naznačují reporty bezpečnostních firem SpiderLabs a CyberCX – byla založena za účelem vytvoření “zástěrky pro ruské zájmy” při šíření propagandy a dezinformací. Anonymous Sudan je pravděpodobně projektem skupiny KillNet, která zahrnuje některé východoevropské členy bez jakékoliv vazby na Súdán.
DDoS útoky Anonymous Sudan, ať už se jednalo o útoky na švédské obchodní korporace, nizozemskou vládní infrastrukturu či francouzské aerolinky Air France, byly zdůvodňovány obranou islámu, nicméně s velkou pravděpodobností se lze domnívat, že byly primárně namířeny proti státům, které humanitárně i vojensky podporují Ukrajinu, což Francie, Nizozemí i Švédsko jsou. Další ruské napojení představuje telegramový kanál Anonymous Sudan, který je psán v ruštině (někdy v angličtině).
KillNet zároveň Anonymous Sudan asistoval při DDoS útocích na německou Spolkovou zpravodajskou službu (BND) a útoky na australské instituce byly vzájemně koordinovány.
Odpovědnost za výpadek cloudové platformy Azure, služby OneDrive a aplikace Microsoft Outlook má také společného jmenovatele, kterým je opět Anonymous Sudan (Microsoftem označovaný jako Storm 1359).