Cuáles fueron las razones por las cuales Anonymous Sudan realizó el ciberataque a OpenAI y su ChatGPT
El servicio de Inteligencia artificial generativa más conocido del mundo sufrió un ataque DDOS que afectó la disponibilidad del servicio. Un reconocido grupo de hackers se adjudica el ataque.

OpenAI, la empresa de inteligencia artificial detrás del desarrollo de ChatGPT, confirmó que sus servicios se vieron afectados por un ataque DDoS. Desde el martes 7 de noviembre de 2023 venía experimentando cortes intermitentes en su API (interfaz de programación de aplicaciones) y el chatbot, que luego se confirmaron como producto de un ataque DDoS.

Este tipo de ataques se basan en el envío de solicitudes desde varias fuentes y en gran cantidad a un servidor o servicio web, para sobrecargar la capacidad de procesamiento de estos y provocar la caída del servicio atacado.

Al ser un ataque distribuido, desde ESET destacan que utilizan varios flancos de ataque y que la detección del origen de las solicitudes para sobrecargar el servidor se hace más difícil, por lo que un DDoS tiene más probabilidades de evadir los bloqueos que si se trata de una sola fuente son más efectivos.

"Estamos experimentando cortes periódicos por un patrón de tráfico anormal que refleja un ataque de DDoS. Estamos trabajando para mitigarlo", había alertado la empresa en su registro de incidentes.
 

Sam Altman CEO de OpenAI, la empresa que recibió el último ataque de Anonymous Sudan

Desde el jueves 9 de noviembre, asegura la plataforma, los servicios volvieron a la normalidad y se pudo resolver el incidente de seguridad.

Todo había comenzado el martes previo con problemas que experimentaron los usuarios del chatbot de OpenAI, ChatGPT, que se atribuían a una "alta demanda excepcional del servicio", algo que ocurre naturalmente por el uso intensivo que existe en la plataforma. Pero al día siguiente los problemas se intensificaron, y en la investigación de OpenAI finalmente se pudo determinar que estaban bajo un ataque DDoS que los había dejado fuera de juego durante varias horas.

Motivaciones más frecuentes detrás de un ataque DDoS

Según publica el sitio BleepingComputer, el grupo que se atribuyó el ataque sería Anonymous Sudan -que en el pasado ha tenido la responsabilidad sobre este tipo de ataque sobre OneDrive, Outlook y Azure Portal-, pero no hay una confirmación oficial de que haya sido este grupo; sí existen difusiones en Telegram sobre esta atribución.

"Este tipo de ataques son muy utilizados por los llamados hacktivistas, que presionan a organizaciones motivados por una disidencia ideológica o política. En los últimos años, el cibercrimen también ha virado hacia obtener un rédito económico, mediante extorsiones y pedidos de rescate a cambio de no ejecutar este tipo de ataques, algo que se conoce como Ransom DDoS, a la vez que la práctica, o amenaza de un DDoS, se convirtió en parte del conjunto de coerciones que los grupos Ransom ejercen sobre sus víctimas.", comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

En una declaración vía Telegram, Anonymous Sudan justificó el uso de sus sables cibernéticos contra OpenAI, citando el pecado de explorar oportunidades de inversión en Israel. 


Anonymous Sudan es un grupo de hacktivistas de Sudán con motivaciones religiosas y políticas que han estado realizando ataques de negación de servicio por motivos religiosos contra varios países occidentales desde enero de 2023.

El grupo se ha centrado en organizaciones e infraestructura crítica suecas y danesas bajo las etiquetas #OpSweden y #OpDenmark. Sus acciones fueron en respuesta a un activista de extrema derecha, Rasmus Paludan, que tiene ciudadanía danesa y sueca. Paludan quemó una copia del Corán en Suecia el 21 de enero de 2023, y prometió continuar quemando el libro sagrado musulmán en Dinamarca hasta que Suecia sea admitida en la OTAN.

Debido a los objetivos comunes durante los ataques en Suecia, Killnet anunció la incorporación de Anonymous Sudan como miembro oficial en su grupo de hacktivistas que amenazan a las naciones occidentales y los países que se oponen a Rusia. Desde entonces, Anonymous Sudan aprovecha su reputación y la influencia de Killnet para aumentar el número de miembros y convertirse en uno de los grupos hacktivistas más destacados de 2023.

Durante una campaña separada de varios días en marzo de 2023, el grupo apuntó a instalaciones médicas, universidades y aeropuertos en Francia. El motivo de este ataque fue una representación de dibujos animados del profeta Mahoma, que supuestamente hacía referencia a las controvertidas caricaturas de Charlie Hebdo. Durante el mismo período, el grupo también filtró información de varias aerolíneas y proveedores de pago, alegando haber hackeado a las organizaciones y publicaron datos confidenciales para la venta.

En junio de 2023, Anonymous Sudan comenzó a extorsionar a sus víctimas por millones a través de mensajes de Telegram, mientras afirmaba mantenerlas desconectadas con ataques de negación de servicio distribuida (DDoS). Microsoft, una de las víctimas de la extorsión, confirmó que los hackers fueron responsables de las interrupciones que afectaron a Outlook, Teams, SharePoint Online, OneDrive for Business y su plataforma de computación en la nube Azure. Dijo que los atacantes se centraron en la "interrupción y la publicidad" y probablemente usaron infraestructura de nube alquilada e infraestructuras de proxy abierto para atacar a los servidores de Microsoft con una alta carga de ataques DDoS web de capa 7 aprovechando el desvío de caché y slowloris.

Un mismo patrón técnico en los ataques de Anonymous Sudán

Los ataques de Anonymous Sudán se caracterizan como ataques web DDoS combinados con oleadas alternas de inundaciones UDP y SYN. Los ataques se originan en decenas de miles de direcciones IP de origen únicas con tráfico UDP que alcanza hasta 600 Gbps e inundaciones de solicitudes HTTPS de hasta varios millones de RPS.

El grupo aprovecha la infraestructura del servidor de la nube pública para generar tráfico y atacar con inundaciones mientras aprovecha las infraestructuras de proxy abiertas y gratuitas para ocultar y aleatorizar la fuente de los ataques.