Η Microsoft επιβεβαιώνει ότι οι υπηρεσίες Azure, Outlook και OneDrive διακόπηκαν λόγω επίθεσης DDoS.

Η Microsoft αναφέρει ότι αυτές οι επιθέσεις χρησιμοποιούν πρόσβαση σε πολλαπλούς εικονικούς ιδιωτικούς διακομιστές (VPS) σε συνδυασμό με ενοικιάσεις υποδομής cloud, proxies και εργαλεία κατανεμημένης επίθεσης άρνησης υπηρεσίας (DDoS). Το Storm-#### (πρώην DEV-####) είναι ένας προσωρινός χαρακτηρισμός που ο κάτοχος των Windows εκχωρεί σε μη αναγνωρισμένες, αναδυόμενες ή αναπτυσσόμενες ομάδες των οποίων η ταυτότητα ή η σχέση τους δεν έχει προσδιοριστεί με σαφήνεια.

Ενώ δεν υπήρχαν στοιχεία ότι έγινε παράνομη πρόσβαση σε δεδομένα πελατών, η Microsoft δήλωσε ότι οι επιθέσεις επηρέασαν προσωρινά τη διαθεσιμότητα ορισμένων υπηρεσιών. Η εταιρεία με έδρα το Ρέντμοντ δήλωσε ότι είχε περαιτέρω παρατηρήσει την ομάδα να εξαπολύει επιθέσεις DDoS επιπέδου 7 από πολλαπλές υπηρεσίες cloud και ανοιχτές υποδομές proxy.

Περιλαμβάνει μαζικές επιθέσεις σε υπηρεσίες-στόχους με μεγάλο όγκο αιτημάτων HTTP(S). Ο εισβολέας επιχειρεί να παρακάμψει το επίπεδο CDN και να υπερφορτώσει τους διακομιστές χρησιμοποιώντας μια τεχνική γνωστή ως Slowloris.

Το Κέντρο Απόκρισης Ασφαλείας (MSRC) της Microsoft δήλωσε ότι αυτές οι επιθέσεις DDoS προέρχονται από πελάτες που ανοίγουν συνδέσεις σε διακομιστές ιστού, ζητώντας πόρους (π.χ. εικόνες) αλλά δεν επιβεβαιώνουν τις λήψεις ή καθυστερούν την αποδοχή, αναγκάζοντας τον διακομιστή να διατηρήσει τη σύνδεση ανοιχτή και τους ζητούμενους πόρους στη μνήμη.

Ως αποτέλεσμα, οι υπηρεσίες του Microsoft 365, όπως το Outlook, το Teams, το SharePoint Online και το OneDrive for Business, αντιμετώπισαν διακοπές λειτουργίας στις αρχές Μαΐου, με την εταιρεία να δηλώνει ότι εντόπισε μια ανωμαλία από την αύξηση των ποσοστών αιτημάτων. Η ανάλυση επισκεψιμότητας αποκάλυψε ότι ένας μεγάλος αριθμός αιτημάτων HTTP παρέκαμψε τις υπάρχουσες αυτόματες διασφαλίσεις και ενεργοποίησε απαντήσεις μη διαθεσιμότητας υπηρεσιών.

Η ομάδα χάκερ Anonymous Sudan ανέλαβε την ευθύνη για τις επιθέσεις, αλλά η Microsoft δεν συνέδεσε την Storm-1359 με αυτές. Οι Anonymous Sudan είχαν προηγουμένως εξαπολύσει επιθέσεις DDoS εναντίον οργανισμών στη Σουηδία, την Ολλανδία, την Αυστραλία και τη Γερμανία από την αρχή του έτους.

Αναλυτές της Trustwave δήλωσαν ότι η ομάδα συνδέεται ανοιχτά με το ρωσικό KillNet, το οποίο συχνά χρησιμοποιεί την αφήγηση περί προστασίας του Ισλάμ ως δικαιολογία για τις επιθέσεις του. Το KillNet τράβηξε επίσης την προσοχή για επιθέσεις DDoS που στόχευαν οργανισμούς υγειονομικής περίθαλψης που φιλοξενούνταν στο Microsoft Azure, οι οποίες σημείωσαν σχεδόν 60 επιθέσεις ημερησίως τον Φεβρουάριο του 2023.

Οι Anonymous Sudan συνεργάστηκαν με τους KillNet και REvil για να σχηματίσουν το «κοινοβούλιο του DARKNET» και ενορχήστρωσαν κυβερνοεπιθέσεις σε χρηματοπιστωτικά ιδρύματα στην Ευρώπη και τις ΗΠΑ, με κύριο στόχο την παράλυση των εργασιών της SWIFT. Τα αρχεία του Flashpoint δείχνουν ότι τα κίνητρα του KillNet ήταν κυρίως οικονομικά, χρησιμοποιώντας τη ρωσική υποστήριξη για την προώθηση των ενοικιαζόμενων υπηρεσιών DDoS.