Společnost Microsoft potvrzuje, že služby Azure, Outlook a OneDrive byly narušeny kvůli útoku DDoS.

Společnost Microsoft uvádí, že tyto útoky využívají přístup k více virtuálním privátním serverům (VPS) v kombinaci s pronájmem cloudové infrastruktury, proxy a nástroji pro distribuované útoky typu denial-of-service (DDoS). Storm-#### (dříve DEV-####) je dočasné označení, které vlastník systému Windows přiřazuje neidentifikovaným, nově vznikajícím nebo rozvíjejícím se skupinám, jejichž identita nebo příslušnost nebyla jasně stanovena.

Ačkoli neexistují žádné důkazy o nelegálním přístupu k datům zákazníků, Microsoft uvedl, že útoky dočasně ovlivnily dostupnost některých služeb. Společnost se sídlem v Redmondu dále uvedla, že pozorovala, jak skupina spouštěla ​​útoky DDoS na 7. vrstvě z několika cloudových služeb a otevřených proxy infrastruktur.

Jde o hromadné útoky na cílové služby s velkým objemem HTTP(S) požadavků; útočník se pokouší obejít vrstvu CDN a přetížit servery pomocí techniky známé jako Slowloris.

Centrum pro bezpečnostní reakce společnosti Microsoft (MSRC) uvedlo, že tyto DDoS útoky pocházejí z klientů, kteří otevírají připojení k webovým serverům, vyžadují zdroje (např. obrázky), ale nepotvrzují stahování nebo zpožďují přijetí, což nutí server udržovat připojení otevřené a požadované zdroje v paměti.

V důsledku toho došlo začátkem května k výpadkům služeb Microsoft 365, jako jsou Outlook, Teams, SharePoint Online a OneDrive pro firmy. Společnost uvedla, že v prudkém nárůstu počtu požadavků zjistila anomálii. Analýza provozu odhalila, že velký počet HTTP požadavků obcházel stávající automatická ochranná opatření a spouštěl reakce na nedostupnost služeb.

K útokům se přihlásila hackerská skupina Anonymous Sudan, ale Microsoft s nimi nespojil Storm-1359. Anonymous Sudan již dříve od začátku roku zahájila DDoS útoky proti organizacím ve Švédsku, Nizozemsku, Austrálii a Německu.

Analytici společnosti Trustwave uvedli, že skupina otevřeně navazuje na ruskou skupinu KillNet, která často používá narativ ochrany islámu jako ospravedlnění svých útoků. KillNet si také získal pozornost kvůli DDoS útokům namířeným proti zdravotnickým organizacím hostovaným na Microsoft Azure, které v únoru 2023 zaznamenaly téměř 60 útoků denně.

Anonymous Sudan spolupracoval s KillNet a REvil na vytvoření „parlamentu DARKNET“ a zorganizoval kybernetické útoky na finanční instituce v Evropě a USA s hlavním cílem paralyzovat operace SWIFT. Záznamy Flashpointu naznačují, že motivy KillNetu byly primárně finanční a využíval ruskou podporu k propagaci svých pronajatých DDoS služeb.