Laut Microsoft nutzten die Angriffe den Zugriff auf mehrere virtuelle private Server (VPS) in Kombination mit gemieteter Cloud-Infrastruktur, Proxys und Distributed-Denial-of-Service-Angriffstools (DDoS). Storm-#### (früher DEV-####) ist eine temporäre Bezeichnung, die von Windows OEM unbekannten, aufstrebenden oder sich entwickelnden Gruppen zugewiesen wird, deren Identität oder Zugehörigkeit nicht eindeutig festgelegt ist.

Zwar gebe es keine Hinweise darauf, dass auf Kundendaten unbefugt zugegriffen wurde, doch Microsoft erklärte, dass die Angriffe die Verfügbarkeit einiger Dienste vorübergehend beeinträchtigt hätten. Das in Redmond ansässige Unternehmen gab an, dass es beobachtet habe, wie die Gruppe zusätzliche Layer-7-DDoS-Angriffe von mehreren Cloud-Diensten und offenen Proxy-Infrastrukturen aus startete.

Dabei werden die Zieldienste mit einer großen Anzahl von HTTP(S)-Anfragen überflutet. Angreifer versuchen, die CDN-Schicht zu umgehen und Server mit einer Technik namens Slowloris zu überlasten.

Laut Microsoft Security Response Center (MSRC) entstehen diese DDoS-Angriffe dadurch, dass Clients Verbindungen zu Webservern herstellen und Ressourcen (z. B. Bilder) anfordern, den Download jedoch entweder nicht bestätigen oder ihn nur langsam annehmen. Dadurch wird der Server gezwungen, die Verbindung offen und die angeforderte Ressource im Speicher zu halten.

Infolgedessen waren Microsoft 365-Dienste wie Outlook, Teams, SharePoint Online und OneDrive for Business Anfang des Monats nicht erreichbar. Das Unternehmen gab an, Anomalien aufgrund hoher Anforderungsraten festgestellt zu haben. Die Verkehrsanalyse zeigt die Anzahl der HTTP-Anfragen, die vorhandene automatisierte Präventionsmaßnahmen umgehen und Antworten auf „Dienst nicht verfügbar“ auslösen.

Die Hackergruppe Anonymous Sudan hat die Verantwortung für die Angriffe übernommen, Microsoft hat Storm-1359 jedoch nicht mit der Gruppe in Verbindung gebracht. Anonymous Sudan hat seit Jahresbeginn DDoS-Angriffe gegen Organisationen in Schweden, den Niederlanden, Australien und Deutschland gestartet.

Analysten von Trustwave sagten, die Gruppe habe sich offen mit der russischen Terrororganisation KillNet verbunden, die ihre Angriffe häufig mit der Verteidigung des Islam begründet. KillNet erregte auch durch seine DDoS-Angriffe auf in Microsoft Azure gehostete Gesundheitsorganisationen Aufmerksamkeit, die im Februar 2023 auf fast 60 Angriffe pro Tag anstiegen.

Anonymous Sudan hat sich mit KillNet und REvil zusammengetan, um das „DARKNET-Parlament“ zu bilden und Cyberangriffe auf Finanzinstitute in Europa und den USA durchzuführen, mit der Hauptaufgabe, den SWIFT-Betrieb lahmzulegen. Aus den Unterlagen von Flashpoint geht hervor, dass KillNet vor allem finanzielle Motive verfolgte und russische Unterstützung nutzte, um seine DDoS-Dienste gegen Bezahlung zu bewerben.