A Microsoft megerősítette, hogy az Azure, az Outlook és a OneDrive szolgáltatásait DDoS-támadás zavarta meg.

A Microsoft szerint ezek a támadások több virtuális magánszerverhez (VPS) való hozzáférést használnak felhőinfrastruktúra-bérléssel, proxykkal és elosztott szolgáltatásmegtagadási (DDoS) támadási eszközökkel kombinálva. A Storm-#### (korábban DEV-####) egy ideiglenes megjelölés, amelyet a Windows tulajdonosa azonosítatlan, feltörekvő vagy fejlődő csoportokhoz rendel, amelyek kilétét vagy hovatartozását nem sikerült egyértelműen megállapítani.

Bár nem volt bizonyíték arra, hogy illegálisan hozzáfértek volna az ügyféladatokhoz, a Microsoft azt állította, hogy a támadások átmenetileg befolyásolták egyes szolgáltatások elérhetőségét. A redmondi székhelyű vállalat azt is közölte, hogy megfigyelte, hogy a csoport 7. rétegű DDoS-támadásokat indított több felhőszolgáltatásból és nyílt proxy infrastruktúrából.

Ez nagy mennyiségű HTTP(S) kérést tartalmazó, célzott szolgáltatások elleni masszív támadásokat foglal magában; a támadó megpróbálja megkerülni a CDN réteget és túlterhelni a szervereket egy Slowloris néven ismert technikával.

A Microsoft Biztonsági Válaszközpontja (MSRC) kijelentette, hogy ezek a DDoS-támadások abból erednek, hogy az ügyfelek kapcsolatokat nyitnak a webszerverekhez, erőforrásokat (pl. képeket) kérnek, de nem erősítik meg a letöltéseket, vagy késleltetik az elfogadást, így a szerver kénytelen nyitva tartani a kapcsolatot, és a kért erőforrásokat a memóriában tartani.

Ennek eredményeként a Microsoft 365 szolgáltatások, mint például az Outlook, a Teams, a SharePoint Online és a OneDrive Vállalati verzió, május elején leállásokat tapasztaltak, a vállalat pedig állítása szerint a kérések számának növekedésében rendellenességet észlelt. A forgalomelemzés kimutatta, hogy nagyszámú HTTP-kérés megkerülte a meglévő automatikus védelmi mechanizmusokat, és szolgáltatás elérhetetlenségre vonatkozó válaszokat váltott ki.

Az Anonymous Sudan hackercsoport vállalta a felelősséget a támadásokért, de a Microsoft nem hozta összefüggésbe őket a Storm-1359-cel. Az Anonymous Sudan korábban már indított DDoS-támadásokat szervezetek ellen Svédországban, Hollandiában, Ausztráliában és Németországban az év eleje óta.

A Trustwave elemzői szerint a csoport nyíltan az orosz KillNethez kapcsolódik, amely gyakran az iszlám védelmének narratíváját használja támadásai igazolására. A KillNet a Microsoft Azure-on üzemeltetett egészségügyi szervezeteket célzó DDoS-támadásaival is felhívta magára a figyelmet, amelyek 2023 februárjában naponta közel 60 támadást tapasztaltak.

Az Anonymous Sudan együttműködött a KillNettel és a REvillel a „DARKNET parlament” megalakításában, és kibertámadásokat szervezett európai és amerikai pénzügyi intézmények ellen, elsődleges céljuk a SWIFT működésének megbénítása volt. A Flashpoint nyilvántartása szerint a KillNet indítékai elsősorban pénzügyiek voltak, orosz támogatást igénybe véve a bérelt DDoS-szolgáltatások népszerűsítésére.