Microsoft potwierdza, że ​​usługi Azure, Outlook i OneDrive zostały zakłócone z powodu ataku DDoS.

Microsoft twierdzi, że ataki te wykorzystują dostęp do wielu wirtualnych serwerów prywatnych (VPS) w połączeniu z wynajmem infrastruktury chmurowej, serwerami proxy i narzędziami do ataków typu „rozproszona odmowa usługi” (DDoS). Storm-#### (dawniej DEV-####) to tymczasowe oznaczenie, które właściciel systemu Windows przypisuje niezidentyfikowanym, nowo powstałym lub rozwijającym się grupom, których tożsamość lub przynależność nie zostały jednoznacznie ustalone.

Chociaż nie było dowodów na nielegalny dostęp do danych klientów, Microsoft poinformował, że ataki tymczasowo wpłynęły na dostępność niektórych usług. Firma z Redmond poinformowała również, że zaobserwowała, iż grupa przeprowadzała ataki DDoS warstwy 7 z wielu usług chmurowych i otwartych infrastruktur proxy.

Polega na masowych atakach na usługi docelowe z dużą liczbą żądań HTTP(S); atakujący próbuje ominąć warstwę CDN i przeciążyć serwery, wykorzystując technikę znaną jako Slowloris.

Centrum reagowania na zagrożenia bezpieczeństwa firmy Microsoft (MSRC) stwierdziło, że ataki DDoS mają swoje źródło w nawiązywaniu przez klientów połączeń z serwerami internetowymi, żądaniu zasobów (np. obrazów), ale braku potwierdzenia pobrania danych lub opóźnianiu akceptacji, co zmusza serwer do utrzymywania otwartego połączenia i przechowywania żądanych zasobów w pamięci.

W rezultacie na początku maja doszło do przerw w działaniu usług Microsoft 365, takich jak Outlook, Teams, SharePoint Online i OneDrive dla Firm. Firma poinformowała o wykryciu anomalii wynikającej ze wzrostu liczby żądań. Analiza ruchu wykazała, że ​​duża liczba żądań HTTP omijała istniejące automatyczne zabezpieczenia i wywoływała komunikaty o niedostępności usług.

Grupa hakerów Anonymous Sudan przyznała się do ataków, ale Microsoft nie powiązał z nimi Storm-1359. Anonymous Sudan przeprowadził już wcześniej ataki DDoS na organizacje w Szwecji, Holandii, Australii i Niemczech od początku roku.

Analitycy z Trustwave twierdzą, że grupa otwarcie powiązuje się z rosyjską grupą KillNet, która często wykorzystuje narrację o ochronie islamu jako uzasadnienie swoich ataków. KillNet zyskał również na popularności dzięki atakom DDoS wymierzonym w organizacje opieki zdrowotnej hostowane na platformie Microsoft Azure, gdzie w lutym 2023 roku odnotowywano prawie 60 ataków dziennie.

Anonymous Sudan współpracował z KillNet i REvil, tworząc „parlament DARKNET” i organizując cyberataki na instytucje finansowe w Europie i USA, których głównym celem było sparaliżowanie operacji SWIFT. Z danych Flashpoint wynika, że ​​motywy KillNet były głównie finansowe i polegały na wykorzystaniu rosyjskiego wsparcia do promowania wynajmowanych usług DDoS.