Microsoft zegt dat deze aanvallen gebruikmaken van toegang tot meerdere virtuele privéservers (VPS'en) in combinatie met gehuurde cloudinfrastructuur, proxy's en tools voor gedistribueerde denial-of-service (DDoS)-aanvallen. Storm-#### (voorheen DEV-####) is een tijdelijke aanduiding die de eigenaar van Windows toewijst aan onbekende, opkomende of zich ontwikkelende groepen waarvan de identiteit of affiliatie niet duidelijk is vastgesteld.
Hoewel er geen bewijs was dat er illegaal toegang was verkregen tot klantgegevens, gaf Microsoft aan dat de aanvallen de beschikbaarheid van sommige diensten tijdelijk hadden beïnvloed. Het in Redmond gevestigde bedrijf meldde verder dat het had waargenomen dat de groep Layer 7 DDoS-aanvallen uitvoerde vanuit meerdere clouddiensten en open proxy-infrastructuren.
Het betreft massale aanvallen op doelservices met een groot volume aan HTTP(S)-verzoeken; de aanvaller probeert de CDN-laag te omzeilen en de servers te overbelasten met behulp van een techniek die bekend staat als Slowloris.
Het Security Response Center (MSRC) van Microsoft verklaarde dat deze DDoS-aanvallen afkomstig zijn van clients die verbindingen openen met webservers, resources (zoals afbeeldingen) opvragen, maar de downloads niet bevestigen of de acceptatie uitstellen. Hierdoor wordt de server gedwongen de verbinding open te houden en de opgevraagde resources in het geheugen te bewaren.
Een anonieme organisatie uit Soedan eist de verantwoordelijkheid op voor de DDoS-aanval op Microsoft-diensten.
Als gevolg hiervan ondervonden Microsoft 365-services zoals Outlook, Teams, SharePoint Online en OneDrive voor Bedrijven begin mei storingen. Het bedrijf verklaarde een afwijking te hebben geconstateerd in de plotselinge toename van het aantal aanvragen. Analyse van het verkeer wees uit dat een groot aantal HTTP-aanvragen de bestaande automatische beveiligingsmaatregelen omzeilde en meldingen van onbeschikbaarheid van de service veroorzaakte.
De hackergroep Anonymous Sudan eiste de verantwoordelijkheid op voor de aanvallen, maar Microsoft legde geen verband tussen Storm-1359 en deze groep. Anonymous Sudan had sinds begin dit jaar al DDoS-aanvallen uitgevoerd op organisaties in Zweden, Nederland, Australië en Duitsland.
Analisten van Trustwave meldden dat de groep openlijk banden onderhoudt met het Russische KillNet, dat vaak het beschermen van de islam als rechtvaardiging voor zijn aanvallen gebruikt. KillNet trok ook de aandacht met DDoS-aanvallen op zorginstellingen die gehost worden op Microsoft Azure, waarbij in februari 2023 bijna 60 aanvallen per dag plaatsvonden.
Anonymous Sudan werkte samen met KillNet en REvil om het "DARKNET-parlement" op te richten en cyberaanvallen te orkestreren op financiële instellingen in Europa en de VS, met als primair doel het verlammen van SWIFT-transacties. Uit gegevens van Flashpoint blijkt dat KillNet voornamelijk financiële motieven had en Russische steun gebruikte om zijn gehuurde DDoS-diensten te promoten.
Bronlink
![[Foto] Premier Pham Minh Chinh woont de conferentie bij over de uitvoering van de taken voor 2026 van de industrie- en handelssector.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F19%2F1766159500458_ndo_br_shared31-jpg.webp&w=3840&q=75)
Reactie (0)