Microsoft indique que ces attaques exploitent l'accès à plusieurs serveurs privés virtuels (VPS) combiné à la location d'infrastructures cloud, à des proxys et à des outils d'attaque par déni de service distribué (DDoS). Storm-#### (anciennement DEV-####) est une désignation temporaire attribuée par le propriétaire de Windows à des groupes non identifiés, émergents ou en développement dont l'identité ou l'affiliation n'a pas été clairement établie.
Bien qu'aucune preuve d'accès illégal aux données clients n'ait été constatée, Microsoft a indiqué que les attaques avaient temporairement perturbé la disponibilité de certains services. L'entreprise de Redmond a également précisé avoir observé le groupe lancer des attaques DDoS de couche 7 depuis plusieurs services cloud et infrastructures de proxy ouvertes.
Il s'agit d'attaques massives sur des services cibles avec un grand volume de requêtes HTTP(S) ; l'attaquant tente de contourner la couche CDN et de surcharger les serveurs en utilisant une technique connue sous le nom de Slowloris.
Le centre de réponse de sécurité de Microsoft (MSRC) a déclaré que ces attaques DDoS proviennent de clients ouvrant des connexions à des serveurs Web, demandant des ressources (par exemple, des images) mais ne confirmant pas les téléchargements ou retardant l'acceptation, forçant le serveur à maintenir la connexion ouverte et les ressources demandées en mémoire.
Le groupe Anonymous Sudan revendique la responsabilité de l'attaque DDoS contre les services Microsoft.
En conséquence, les services Microsoft 365 tels qu'Outlook, Teams, SharePoint Online et OneDrive Entreprise ont subi des interruptions de service début mai. L'entreprise a indiqué avoir détecté une anomalie liée à la forte augmentation du nombre de requêtes. L'analyse du trafic a révélé qu'un grand nombre de requêtes HTTP avaient contourné les systèmes de protection automatique existants, provoquant ainsi des messages d'indisponibilité du service.
Le groupe de hackers Anonymous Sudan a revendiqué les attaques, mais Microsoft n'a pas établi de lien entre Storm-1359 et ces attaques. Anonymous Sudan avait déjà lancé des attaques DDoS contre des organisations en Suède, aux Pays-Bas, en Australie et en Allemagne depuis le début de l'année.
Selon les analystes de Trustwave, le groupe se lie ouvertement à KillNet, un réseau russe qui justifie souvent ses attaques en prétendant protéger l'islam. KillNet s'est également fait remarquer pour ses attaques DDoS ciblant des organisations de santé hébergées sur Microsoft Azure, qui ont enregistré près de 60 attaques par jour en février 2023.
Anonymous Sudan a collaboré avec KillNet et REvil pour former le « parlement du Darknet » et orchestrer des cyberattaques contre des institutions financières en Europe et aux États-Unis, avec pour principal objectif de paralyser les opérations SWIFT. Les archives de Flashpoint indiquent que les motivations de KillNet étaient essentiellement financières, l'organisation ayant recours au soutien russe pour promouvoir ses services de location d'attaques DDoS.
Lien source
![[Photo] Le Premier ministre Pham Minh Chinh participe à la Conférence sur la mise en œuvre des objectifs du secteur de l'industrie et du commerce pour 2026](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F19%2F1766159500458_ndo_br_shared31-jpg.webp&w=3840&q=75)
Comment (0)