黑客被起诉，3.5 万次攻击中使用的 DDoS 工具被缴获

美国司法部 (DoJ) 起诉了两名苏丹国民，指控他们担任匿名苏丹 (Anonymous Sudan) 的领导角色。

该网络犯罪组织对全球数万次分布式拒绝服务 (DDoS) 攻击负责。

该组织被指控针对关键基础设施、医院、政府设施和大型科技公司，造成大面积破坏和数百万美元的损失。

16日公布的起诉书指控 22 岁的 Ahmed Salah Yousif Omer 和 27 岁的 Alaa Salah Yusuuf Omer 合谋破坏受保护的计算机。

Ahmed Salah 还面临与具体实施这些网络攻击相关的其他指控。

2023 年初出现的“匿名苏丹”组织据称使用一种名为“分布式云攻击工具”（DCAT）的强大 DDoS 工具发动了 35,000 多次攻击。

其中仅针对洛杉矶系统的攻击就超过 70 次。

谷歌将“匿名苏丹”组织列为最近在法国巴黎举行的奥运会面临的主要网络威胁之一。

他们的高调目标包括美国司法部、国防部、联邦调查局以及洛杉矶雪松西奈医学中心等医院。

这些攻击还扰乱了微软和 Riot Games 等科技巨头的服务，严重影响了运营并对计算机网络造成了广泛破坏。

这些攻击造成的损失估计超过 1000 万美元。

最近，Radware 记录了一次针对中东一家金融机构的破纪录 DDoS 攻击，平均每秒请求数 (RPS) 为 450 万，达到了前所未有的 1470 万 RPS。

威胁行为者“SN_BLACKMETA”声称发动了这次攻击，据信是从 Anonymous Sudan 的 DDoS 平台发起的。

美国检察官马丁·埃斯特拉达谴责该组织的行为，强调这些袭击的严重性，尤其是针对医院的袭击。

匿名苏丹组织试图最大限度地造成破坏和毁坏，并指出他们对雪松西奈医疗中心的 DDoS 攻击迫使急诊病人转移了 8 个小时，这一举动危及生命。

2024 年 3 月，美国当局根据法院授权的逮捕令采取行动，查封并拆除了 Anonymous Sudan 的 DDoS 基础设施，禁用了 DCAT 工具的关键组件，取得了突破。

这次破坏对于阻止进一步的攻击至关重要。该工具本身有各种名称，包括“Godzilla”、“Skynet”和“InfraShutdown”，已作为服务出售给其他网络犯罪分子，扩大了其影响范围和威胁潜力。

联邦调查局的调查得到了Akamai、Cloudflare 和 Amazon Web Services 等私营科技公司的支持，是名为 Operation PowerOFF 的更广泛的国际执法行动的一部分。

这项涉及跨境机构的行动旨在摧毁 DDoS 雇佣服务并追究这些行动背后的个人的责任。

如果罪名成立，艾哈迈德·萨拉赫可能面临终身监禁，而阿拉·萨拉赫可能面临最高五年的联邦监禁。

司法部新闻稿全文

洛杉矶——今天公布的一份联邦大陪审团起诉书指控两名苏丹国民运营和控制“匿名苏丹”，这是一个在线网络犯罪组织，对美国及世界各地的关键基础设施、企业网络和政府机构发动了数万次分布式拒绝服务 (DDoS) 攻击。

2024 年 3 月，根据法院授权的扣押令，美国检察官办公室和联邦调查局扣押并禁用了匿名苏丹组织强大的 DDoS 工具，该组织涉嫌使用该工具发动 DDoS 攻击，并作为服务出售给其他犯罪分子。

22 岁的艾哈迈德·萨拉赫·尤素夫·奥默尔 (Ahmed Salah Yousif Omer) 和 27 岁的阿拉·萨拉赫·尤素夫·奥默尔 (Alaa Salah Yusuuf Omer) 均被控一项合谋破坏受保护计算机的罪名。艾哈迈德·萨拉赫还被控三项破坏受保护计算机的罪名。

美国检察官马丁·埃斯特拉达表示：“匿名苏丹组织试图通过发动数万次网络攻击，对世界各地的政府和企业造成最大程度的破坏和毁坏。该组织的攻击冷酷无情，甚至攻击为患者提供紧急护理的医院。我的办公室致力于保护我们国家的基础设施和使用它的人，我们将追究网络犯罪分子造成的严重伤害的责任。”

FBI 安克雷奇外勤办事处特工主管 Rebecca Day 表示：“FBI 缴获的这一强大的 DDoS 工具成功摧毁了导致全球关键基础设施和网络大规模破坏和中断的攻击平台。凭借 FBI 独特的权力、能力和合作伙伴关系，我们在打击各种形式的网络犯罪和维护全球网络安全方面的能力是无限的。”

“这些指控和调查结果，通过执法部门和私营部门的合作得以实现，对美国及其盟友的网络安全产生了不可估量的影响，并表明了国防刑事调查局 (DCIS) 保护国防部免受不断演变的网络威胁的决心，”国防刑事调查局网络实地办公室特工主管肯尼斯·A·德切利斯 (Kenneth A. DeChellis) 表示。“网络犯罪分子需要明白，如果他们以美国的作战人员为目标，他们将面临后果。”

根据起诉书和今天公布的刑事起诉书，自 2023 年初以来，匿名苏丹组织成员及其客户一直使用该组织的分布式云攻击工具 (DCAT) 进行破坏性的 DDoS 攻击，并公开宣称自己是其所为。在大约一年的运营中，匿名苏丹组织的 DDoS 工具被用来发动超过 35,000 次 DDoS 攻击，其中至少 70 次针对大洛杉矶地区的计算机。

此次攻击的受害者包括美国国内和世界各地的敏感政府和关键基础设施目标，包括司法部、国防部、联邦调查局、国务院、洛杉矶雪松西奈医学中心和阿拉巴马州政府网站。受害者还包括美国主要技术平台，包括微软公司和 Riot Games Inc. 以及网络服务提供商。据报道，此次攻击导致网络中断，影响了数千名客户。

匿名苏丹的 DDoS 攻击有时会持续数天，对受害者的网站和网络造成破坏，经常导致无法访问或无法运行，造成重大损失。例如，匿名苏丹的 DDoS 攻击导致 Cedars-Sinai 医疗中心的急诊部关闭，导致入院患者被转移到其他医疗机构约八小时。匿名苏丹的攻击给美国受害者造成了超过 1000 万美元的损失。

2024 年 3 月，匿名苏丹的 DCAT 工具（该工具被称为“哥斯拉”、“天网”和“基础设施关闭”）被破坏，这是通过法院授权扣押其关键组件实现的。具体而言，逮捕令授权扣押发起和控制 DDoS 攻击的计算机服务器、将攻击命令转发给更广泛的攻击计算机网络的计算机服务器，以及包含匿名苏丹使用的 DDoS 工具源代码的账户。

起诉书仅仅是一种指控，除非法庭排除合理怀疑证明被告有罪，否则被告被推定为无罪。

如果所有指控成立，艾哈迈德·萨拉赫将面临法定最高刑期——联邦监狱终身监禁，而阿拉·萨拉赫将面临法定最高刑期——联邦监狱五年监禁。

对“匿名苏丹”的调查由美国联邦调查局安克雷奇外地办事处、国防刑事调查局和美国国务院外交安全局计算机调查和取证部门联合进行。

美国助理检察官卡梅伦·L·施罗德 (Cameron L. Schroeder) 和亚伦·弗鲁姆金 (Aaron Frumkin) 是网络和知识产权犯罪科的检察官，他们正在起诉此案，并得到了国家安全局国家安全网络科的审判律师格雷格·尼科西亚 (Greg Nicosia) 的大力协助。美国助理检察官施罗德和弗鲁姆金以及资产没收科的美国助理检察官詹姆斯·多赫特曼 (James Dochterman) 还获得了构成匿名苏丹 DCAT 工具的计算机服务器的扣押令。

美国司法部刑事司国际事务办公室、联邦调查局国际行动部和行为分析部门以及美国阿拉斯加区检察官办公室协助了此次调查。

这些执法行动是 Operation PowerOFF 的一部分，Operation PowerOFF 是国际执法机构之间持续协调的一项行动，旨在摧毁全球范围内的 DDoS 犯罪基础设施，并追究这些非法服务的管理员和用户的责任。Akamai SIRT、Amazon Web Services、Cloudflare、Crowdstrike、DigitalOcean、Flashpoint、Google、Microsoft、PayPal、SpyCloud 和其他私营部门实体为此事提供了协助。