Grupa haktywistyczna SN_BLACKMETA przypisuje sobie sprawstwo ataku na Internet Archive i twierdzi, że motywacją dla jej działań jest sprawa Palestyny. Wszystko wskazuje jednak na to, że haktywiści w rzeczywistości nie są tym, za kogo się podają.
Grupa haktywistyczna SN_BLACKMETA przypisuje sobie sprawstwo cyberataku na Internet Archive, o którym pisaliśmy na łamach TECHSPRESSO.CAFE tutaj.
W wyniku incydentu wyciekły dane 31 mln użytkowników tego serwisu, który – wbrew temu, co zadeklarowali haktywiści – nie należy do rządu federalnego USA, ale jest częścią działalności organizacji non-profit.
Grupa poinformowała, że to właśnie jej członkowie stoją za cyberatakiem na Internet Archive, w swoich kanałach społecznościowych – na platformie Telegram i w serwisie X.
Kim są haktywiści SN_BLACKMETA?
W analizie firmy Radware czytamy, że SN_BLACKMETA to relatywnie nowy aktor. Kanał tej grupy na Telegramie pojawił się 14 listopada ubiegłego roku. Haktywiści chwalili się tam swoimi działaniami przeciwko infrastrukturze Izraela, ale i Palestyny, które miały charakter głównie ataków typu DDoS. Jak zauważa Radware, komunikacja ta jasno wskazywała również założenia ideologiczne SN_BLACKMETA.
Od początku swojej działalności SN_BLACKMETA przeprowadziła szereg ataków, które oprócz Izraela wymierzone były w kraje takie jak Kanada, Arabia Saudyjska, Francja, Zjednoczone Emiraty Arabskie, a także liczne zachodnie instytucje technologiczne.
Największe natężenie aktywności grupy SN_BLACKMETA obserwowano w okolicach marca 2024 r. W tym czasie haktywiści zaatakowali m.in. izraelską firmę Smart Shooter, izraelskie telekomy, a także giełdę papierów wartościowych w Tel Awiwie. W kwietniu SN_BLACKMETA przerzucili się na cyfrową infrastukturę ZEA, a także witryny instytucji naukowych i firm technologicznych w Izraelu, zaatakowany też został szereg podmiotów na Zachodzie. W maju SN_BLACKMETA atakowała m.in. Yahoo, Microsoft, koncern Orange – oraz przeprowadziła atak DDoS na Internet Archive.
Motywacją dla ataków SN_BLACKMETA wydaje się być ideologia propalestyńska. Tak mówią o sobie sami haktywiści – twierdzą, że ich działania to zemsta za niesprawiedliwość wobec Palestyńczyków i szerzej, muzułmanów.
Grupa lubi publicznie chwalić się sukcesami, chętnie pokazując zrzuty ekranu i linki potwierdzające skuteczność ich akcji. Radware zwraca jednak uwagę, że informacje o czasie, w którym podejmowane są jej aktywności, wskazują iż sprawcy ataków mogą działać ze strefy czasowej właściwej dla Moskwy, lub lokalizacji na Bliskim Wschodzie, a nawet w Europie Wschodniej (strefy czasowe mają zasięg od UTC+2 do UTC+4).
Wątek sudański
Radware w swojej analizie podkreśla, że interesującym wątkiem są też powiązania grupy SN_BLACKMETA z Sudanem. Może na to wskazywać m.in. abrewiacja “SN” w nazwie grupy, a przypuszczenie to wpisuje się także w kontekst operacji haktywistów oraz wspomniane wcześniej strefy czasowe ich działalności.
“Głębsza analiza ujawnia uderzające podobieństwo aktywności SN_BLACKMETA do [grupy – red.] Anonymous Sudan, w kwestiach motywacji ideologicznych, metodologii ataków, wyboru celów oraz wzorców aktywności” – pisze firma.
Obie grupy kierują się deklarowanym sentymentem propalestyńskim, a także plasują się na stanowisku antyzachodnim w reakcji na wydarzenia o charakterze geopolitycznym, które dotyczą krajów muzułmańskich – czytamy. Eksperci spółki wskazują, że wybór celów z zakresu infrastruktury krytycznej świadczy o tym, że grupa ta chce być dostrzeżona, a także skutecznie chce zwiększać zasięg swojego oddziaływania.
Część działalności grupy koncentruje się na atakach skierowanych przeciwko Zjednoczonym Emiratom Arabskim, co może być odpowiedzią na rzekome zaangażowanie Emiratów w konflikt wewnętrzny w Sudanie. Niektóre źródła wskazują także na możliwość, że grupa operuje z terenu Rosji lub w jej bliskim sąsiedztwie, co mogłoby tłumaczyć skoordynowane działania z innymi grupami działającymi w tej strefie czasowej.
DDoS-y na zlecenie
Wątek sudański zdaniem analityków znajduje potwierdzenie w jeszcze jednym aspekcie.
Jednym z narzędzi, które SN_BLACKMETA mogła wykorzystać do przeprowadzenia swojej kampanii, jest InfraShutdown – usługa DDoS-for-hire (DDoS na zamówienie), która została uruchomiona w lutym 2024 roku przez grupę Anonymous Sudan.
InfraShutdown oferuje ataki DDoS na skalę państwową, skierowane przeciwko kluczowej infrastrukturze, systemom finansowym i sieciom telekomunikacyjnym.
Usługa cieszy się dużym zainteresowaniem, szczególnie wśród grup przestępczych i hacktywistów, a jej subskrypcje sięgają kwot od 500 dolarów za tydzień do 2500 dolarów za miesiąc.
SN_BLACKMETA współpracuje także aktywnie z innymi grupami, takimi jak Killnet, Ghosts of Palestine i innymi organizacjami, które są częścią większego kolektywu Anonymous – twierdzi Radware.
Czy jest się czego obawiać?
Radware uważa, że SN_BLACKMETA to grupa stwarzająca rosnące zagrożenie. Potencjalnie może być zlokalizowana w Rosji, a motywacją dla jej działań jest silnie zdeklarowana pozycja polityczna, a także strategicznie pojmowany udział w trwających cyberkonfliktach.
“Działania tej grupy wskazują na metodyczne poszerzanie zakresu celów, wyszukaną taktykę public relations, możliwą współpracę z innymi cybergrupami i bardzo prawdopodobne relacje z Sudanem” – czytamy w analizie Radware.
Analitycy oceniają, że zrozumienie natury motywacji, wzorców operacyjnych i powiązań grupy, tak jak i ewolucji jej działań, jest obecnie kluczowe dla cyberbezpieczeństwa na całym świecie.
