マイクロソフト社によると、攻撃にはレンタルクラウドインフラ、プロキシ、分散型サービス拒否（DDoS）攻撃ツールを組み合わせた複数の仮想プライベートサーバー（VPS）へのアクセスが使用されたという。 Storm-#### (旧称 DEV-####) は、身元や所属が明確に確認されていない、未知の、新興の、または発展途上のグループに対して Windows OEM が割り当てた一時的な指定です。

顧客データが不正にアクセスされたという証拠はないが、マイクロソフト社は攻撃により一部のサービスが一時的に利用不能になったと述べた。レドモンドに本社を置く同社は、このグループが複数のクラウドサービスとオープンプロキシインフラストラクチャから追加のレイヤー7 DDoS攻撃を仕掛けているのを確認したと述べた。

標的のサービスに大量の HTTP(S) リクエストを送りつける攻撃です。攻撃者は、Slowloris と呼ばれる手法を使用して、CDN レイヤーをバイパスし、サーバーに過負荷をかけようとします。

Microsoft セキュリティ レスポンス センター (MSRC) によると、これらの DDoS 攻撃は、クライアントが Web サーバーへの接続を開き、リソース (画像など) を要求したものの、ダウンロードを認識しなかったり、ダウンロードの受け入れが遅かったりして、サーバーが接続を開いたままにし、要求されたリソースをメモリ内に保持せざるを得なくなることから発生するとのことです。

その結果、Outlook、Teams、SharePoint Online、OneDrive for Business などの Microsoft 365 サービスが今月初めにダウンし、同社はリクエスト率の高さから異常を検出したと述べています。トラフィック分析では、既存の自動防止対策を回避し、サービス利用不可の応答をトリガーする HTTP 要求の数が表示されます。

ハッカー集団「アノニマス・スーダン」が攻撃の責任を主張しているが、マイクロソフトはストーム1359と同集団との関連を明らかにしていない。アノニマス・スーダンは今年初めからスウェーデン、オランダ、オーストラリア、ドイツの組織に対してDDoS攻撃を開始した。

トラストウェーブのアナリストらは、このグループはロシアのキルネットと公然と結びついており、キルネットは攻撃の背後にある論理としてイスラム教擁護の主張を頻繁に利用していると述べた。 KillNet は、Microsoft Azure でホストされている医療機関に対する DDoS 攻撃でも注目を集めており、2023 年 2 月には 1 日の攻撃数が 60 件近くに増加しました。

Anonymous SudanはKillNetおよびREvilと提携して「DARKNET議会」を形成し、SWIFTの運用を麻痺させることを主な使命として欧州と米国の金融機関に対してサイバー攻撃を仕掛けている。フラッシュポイントの提出書類によると、キルネットの動機は主に金銭的なもので、ロシアの支援を利用してDDoS攻撃請負サービスを推進していたという。