Microsoft는 공격에 임대 클라우드 인프라, 프록시, 분산 서비스 거부(DDoS) 공격 도구와 결합된 여러 가상 사설 서버(VPS)에 대한 액세스가 사용되었다고 밝혔습니다. Storm-####(이전 명칭 DEV-####)은 Windows OEM이 신원이나 소속이 명확하게 확립되지 않은 알려지지 않은, 새롭게 등장한 또는 개발 중인 그룹에 지정한 임시 명칭입니다.

승인 없이 고객 데이터에 접근했다는 증거는 없지만, Microsoft에서는 공격으로 인해 일부 서비스의 가용성이 일시적으로 영향을 받았다고 밝혔습니다. 레드먼드에 본사를 둔 이 회사는 해당 그룹이 여러 클라우드 서비스와 오픈 프록시 인프라에서 추가적인 7계층 DDoS 공격을 개시하는 것을 관찰했다고 밝혔습니다.

이는 대상 서비스에 대량의 HTTP(S) 요청을 범람시키는 것을 포함합니다. 공격자는 Slowloris라는 기술을 이용해 CDN 계층을 우회하고 서버에 과부하를 일으키려고 합니다.

Microsoft 보안 대응 센터(MSRC)에 따르면 이러한 DDoS 공격은 클라이언트가 웹 서버에 연결을 열고 리소스(예: 이미지)를 요청하지만 다운로드를 인식하지 못하거나 수신 속도가 느려 서버가 연결을 계속 열어두고 요청된 리소스를 메모리에 저장해야 하기 때문에 발생한다고 합니다.

그 결과, Outlook, Teams, SharePoint Online, OneDrive for Business 등 Microsoft 365 서비스가 이번 달 초에 중단되었으며, 회사 측에서는 요청률이 높아서 이상을 감지했다고 밝혔습니다. 트래픽 분석은 기존의 자동화된 예방 조치를 우회하고 서비스를 사용할 수 없게 만드는 HTTP 요청의 수를 보여줍니다.

해커 그룹인 Anonymous Sudan이 이 공격에 대한 책임을 주장했지만, Microsoft는 Storm-1359가 이 그룹과 관련이 있다고 밝히지 않았습니다. Anonymous Sudan은 올해 초부터 스웨덴, 네덜란드, 호주, 독일의 조직을 대상으로 DDoS 공격을 시작했습니다.

Trustwave의 분석가들은 이 단체가 이슬람을 옹호하는 이야기를 공격의 근거로 자주 사용하는 러시아의 KillNet과 공개적으로 연관을 맺고 있다고 말했습니다. KillNet은 Microsoft Azure에 호스팅된 의료 기관을 대상으로 한 DDoS 공격으로 주목을 받았는데, 2023년 2월에는 일일 공격이 60건 가까이로 늘어났습니다.

Anonymous Sudan은 KillNet과 REvil과 협력하여 "DARKNET 의회"를 구성하고 유럽과 미국의 금융 기관에 대한 사이버 공격을 수행하여 SWIFT 운영을 마비시키는 것을 주요 목표로 삼았습니다. 플래시포인트의 제출물에 따르면, 킬넷의 동기는 주로 재정적인 것이었으며, 러시아의 지원을 이용해 DDoS 공격대행 서비스를 홍보하려는 의도가 있었습니다.