När SVT Nyheter var i kontakt med Anonymous Sudan via appen Telegram i tisdags, konstaterades att hackergruppens nästa måltavla är Danmark. De publicerade även senare ett meddelande på sin officiella kanal om att grannlandet skulle cyberattackeras.
Flera danska flygplatser drabbades av problem under onsdagen, men efter att 61 av gruppens servrar lyckades identifieras och stängas ner av svenska privata aktörer inatt, har det varit tyst.
– Det här har troligen temporärt avvärjt attackerna. Det kommer säkert hända saker framöver, men de måste omgruppera och upprätta ny it-infrastruktur, säger Marcus Murray, grundare av it-säkerhetsföretaget Truesec.
Säkerhetsaktörernas tillvägagångssätt
Som en del i Truesecs utredning av Anonymous Sudan genomförde samarbetsföretaget Baffin Bay en analys av attacktrafiken, och det var då källan uppdagades.
– Man kunde följa trafiken som slår mot alla webbsajter till vissa servrar, och bakom dessa fann man då de här ytterligare 61 stycken som kontrollerat och styrt attackerna, säger Murray.
Gruppen har ovanligt tillvägagångssätt
Men grundservrarna som kontrollerar attackservrarna var inte det enda som upptäcktes under ingripandet.
– De här servrarna var placerade i det multinationella it-företagets IBM:s moln i Tyskland. Och det är inte helt gratis, så det visar på att den här angriparen har finansiella medel att köpa it-infrastruktur med, säger Murray.
Aktivister eller ”vanliga hackare” använder normalt hackade datorer, menar it-experten, medan Anonymous Sudan köper utrustning i professionella molntjänster.
– Det är ett beteende som man normalt bara ser hos nationalstater, menar Marcus Murray.
Se vad vi vet om hackergruppen i klippet nedan.