Mundo

Anonymous Sudán, que hackeó a Microsoft, es liderado por Rusia, advierten expertos

Mientras Anonymous Sudán dice actuar en nombre de los musulmanes oprimidos del mundo, expertos en seguridad consideran que opera desde Rusia con el propósito de promover objetivos de Moscú.

El grupo de hackers supuestamente efectuó ataques contra Microsoft como represalia por políticas de EU contra Sudán. (Bloomberg)

Un grupo de piratas informáticos responsable de una serie de interrupciones en Microsoft a principios de este mes había pasado los meses anteriores atacando objetivos en Israel, Suecia y otras naciones, como parte de una campaña en expansión que algunos investigadores de seguridad cibernética han vinculado a Rusia.

”Anonymous Sudán” se describe a sí mismo como un grupo hacktivista y dice que está realizando ataques cibernéticos desde África en nombre de los musulmanes oprimidos en todo el mundo.

El grupo afirmó que sus ataques distribuidos de denegación de servicio, o DDoS, del 5 de junio contra Microsoft fueron una represalia por la política de Estados Unidos con respecto al conflicto militar de Sudán. Actualmente, Estados Unidos está tratando de negociar un acuerdo de paz entre las facciones en guerra.

Algunos expertos en seguridad cibernética han llegado a la conclusión de que el grupo en realidad opera desde Rusia y piratea con un propósito completamente diferente: promover los objetivos de Moscú

“Anonymous Sudán es una operación de información rusa que tiene como objetivo utilizar sus credenciales islámicas para abogar por una cooperación más estrecha entre Rusia y el mundo islámico, siempre afirmando que Rusia es amiga de los musulmanes”, dijo Mattias Wåhlén, experto en inteligencia de amenazas en Truesec. “Esto los convierte en un proxy útil”.

Wåhlén dirigió la investigación de Truesec sobre Anonymous Sudán y el informe de febrero de la firma  que identificó al grupo como una fachada para Rusia, una evaluación que fue corroborada por otros expertos en seguridad que estudiaron al grupo y sus actividades. En sus pocos meses de existencia, Anonymous Sudán ha utilizado repetidamente los ataques cibernéticos como una cachiporra para llevar a casa una narrativa singular: que Occidente es hostil al Islam, mientras que Moscú es amigo del mundo musulmán, dijo.


Un representante de Anonymous Sudán negó a Bloomberg News que el grupo estuviera actuando en nombre de Rusia, pero dijo que sus intereses estaban alineados. Anonymous Sudán persigue “todo lo que es hostil al Islam y todos los países que son hostiles al Islam son hostiles a Rusia”, escribió el representante, como parte de una conversación en línea.

El fin de semana pasado, cuando un motín extraordinario en Rusia por parte del líder mercenario del Grupo Wagner desafió al presidente ruso Vladimir Putin, Anonymous Sudán acudió a Telegram en apoyo del Kremlin. ”El ejército ruso debe derrotar esta rebelión”, escribió el grupo.

Un representante de Microsoft se negó a comentar, más allá de confirmar la participación de Anonymous Sudán, y se refirió a la  publicación del blog de la compañía del 16 de junio sobre el incidente. Un portavoz de la embajada rusa en Washington no respondió a una solicitud de comentarios.

En su publicación de blog, Microsoft declaró que a principios de junio había identificado “aumentos en el tráfico contra algunos servicios que afectaron temporalmente la disponibilidad”. Los ataques DDoS suelen dirigir el tráfico basura de Internet a un objetivo, como un sitio web o un servidor, degradando temporalmente el servicio o desconectándolo.

El bombardeo cibernético dirigido a Microsoft provocó interrupciones temporales de algunos de los servicios más populares de la compañía, incluidos Outlook, Teams y OneDrive, y encajaron con lo que los expertos en seguridad señalaron como un aumento de las hostilidades en la guerra de Rusia en Ucrania. Eso coincide con lo que los expertos dijeron que era el patrón de Anonymous Sudan de sincronizar sus ataques cibernéticos con estallidos geopolíticos en países alineados contra Rusia para obtener una mayor visibilidad de sus mensajes antioccidentales.

¿En qué consisten los ataques de Anonymous Sudan a Microsoft?

Microsoft dijo que el grupo “parece estar enfocado en la disrupción y la publicidad”. Sandra Barouta Elvin, oficial de seguridad nacional de Microsoft para Suecia, donde los incidentes de Anonymous Sudán  comenzaron a principios de este año, escribió en una publicación en su página personal de LinkedIn el 19 de junio que las dos semanas anteriores habían sido “muy intensas” a medida que aumentaban los ataques cibernéticos en Ucrania y contra las plataformas de Microsoft, lo que pone a prueba la capacidad de la empresa para discernir entre tráfico legítimo y malicioso a algunos de sus servicios más populares.

“Es un juego del gato y el ratón para identificar constantemente nuevos patrones y nueva infraestructura utilizada para este tipo de ataques”, dijo.

Una de las razones por las que las campañas de Anonymous Sudan son efectivas es que apuntan a la “capa 7″, o la capa de aplicación, de la infraestructura de Internet de las víctimas: ahí es donde los servidores web reciben información de los usuarios y, en un proceso computacionalmente agotador, entregan contenido en respuesta, según Charl van der Walt, jefe de investigación de ciberseguridad de Orange Cyberdefense, parte de la empresa de telecomunicaciones francesa Orange SA.

Cuando se ejecutan hábilmente, estos eventos DDoS hacen que los servidores web no puedan diferenciar entre solicitudes reales y falsas, dijo. Los ataques son más difíciles de configurar para los piratas informáticos, pero tienen una recompensa potencialmente mayor que los ataques ordinarios de denegación de servicio, que son más fáciles de bloquear, dijo.

Anonymous Sudán tiene el “conocimiento técnico sobre cómo ejecutar un ataque tan no trivial, y parece saber cómo ser efectivo contra uno de los mayores gigantes de infraestructura en la nube como Microsoft”, dijo van der Walt. “Desde un punto de vista técnico, los atacantes son buenos o tienen acceso a recursos que pueden dirigir para actuar en su nombre. Esto los coloca en una liga por encima del colectivo de hackers promedio”.

Origen de Anonymous Sudan

Anonymous Sudán surgió en febrero con una campaña contra Suecia. El ataque digital interrumpió la programación en línea de la emisora pública nacional de Suecia y eliminó los sitios web de la aerolínea SAS AB, la compañía eléctrica estatal Vattenfall AB y la firma de defensa Saab AB.

El grupo dijo que los ataques fueron en respuesta a la quema de un Corán frente a la embajada turca en Estocolmo a principios de este año. Pero algunos investigadores creen que su motivación fue amplificar las tensiones con la minoría musulmana de Suecia y presionar a Turquía para que se mantuviera firme y rechazara la oferta de Suecia de unirse a la alianza militar de la OTAN.

Con la solicitud de Suecia para la OTAN estancada, Anonymous Sudán ha centrado su atención en Israel.

El 4 de abril, Anonymous Sudán anunció que estaba atacando a la empresa de ciberseguridad israelí Check Point Software Technologies Ltd., y al día siguiente prometió “intensificar en gran medida” sus ataques en general contra Israel. El grupo declaró que estaba atacando en apoyo de los palestinos después de los enfrentamientos entre la policía y los fieles en la mezquita de al-Aqsa en Jerusalén.

Los ataques continuaron cuando surgieron noticias de que Israel, que ha sido oficialmente neutral en la guerra de Ucrania, había enviado radares avanzados y otros equipos militares al país en disputa.

Anonymous Sudán lanzó cientos de ataques durante un período de seis semanas dirigidos a sitios web utilizados por organizaciones de noticias, agencias gubernamentales y militares, universidades, bancos, proveedores de telecomunicaciones, empresas de tecnología y sistemas de alerta que emiten alertas electrónicas de cohetes a ciudadanos israelíes, según Gil Messing, jefe de personal de Check Point. 

Israel se ha enfrentado regularmente a oleadas de ataques cibernéticos de grupos autoproclamados de hacktivistas. Pero los ataques de Anonymous Sudán se destacan, y han demostrado ser más disruptivos, porque son mucho más poderosos que cualquier otro anterior, dijo Messing.

En un incidente en Israel, por ejemplo, el grupo implementó un ataque de denegación de servicio que inundó un sitio web con 35 millones de solicitudes por segundo, dejándolo fuera de línea durante media hora, dijo Messing. El ataque de denegación de servicio promedio suele alcanzar solo unas 240 mil solicitudes por segundo, según la firma de ciberseguridad Imperva.

“Multiplique las fuerzas que están usando para DDoS por al menos diez, a veces más, que el DDoS habitual que verían otros grupos cibernéticos”, dijo Messing. “Las herramientas no son extremadamente sofisticadas ni caras. Pero no se utilizan mucho”.

Más ataques de Anonymous Sudan en puerta

La ola masiva de ataques lanzados por Anonymous Sudán contra Israel significó que, durante el primer trimestre de este año, la nación enfrentará más ataques de denegación de servicio que cualquier otro país, según Cloudflare Inc., una firma de seguridad cibernética.

Anonymous Sudán ha prometido continuar. Recientemente se asoció con dos grupos de piratería bien conocidos: Killnet, que ha lanzado ataques DDoS alineados con los intereses rusos, y el grupo de ransomware vinculado a Rusia, REvil. Juntos, prometieron grandes ciberataques contra los bancos europeos en respuesta al continuo apoyo a Ucrania. Una víctima que ya ha surgido es el Banco Europeo de Inversiones, el banco propiedad de los miembros de la Unión Europea, cuyo sitio web fue interrumpido el 19 de junio.

Barouta Elvin, el ejecutivo de Microsoft en Suecia, dijo que una lección de las intrusiones cibernéticas en las últimas semanas por parte de grupos alineados con Rusia es que a medida que se intensifica la guerra en Ucrania, también lo harán los ataques cibernéticos contra los aliados de ese país.

“Cualquiera que apoye a Ucrania está bajo fuego, y los bancos europeos han sido señalados como objetivos en los últimos días”, escribió Barouta Elvin en su publicación. “En otras palabras, existe un gran riesgo de que no sea el último artículo este verano sobre esta amenaza”.

También lee: