Microsoft bekräftar att Azure-, Outlook- och OneDrive-tjänsterna stördes på grund av en DDoS-attack.

Microsoft säger att dessa attacker använder åtkomst till flera virtuella privata servrar (VPS) i kombination med uthyrning av molninfrastruktur, proxyservrar och distribuerade DDoS-attackverktyg (denial-of-service). Storm-#### (tidigare DEV-####) är en tillfällig beteckning som Windows-ägaren tilldelar oidentifierade, framväxande eller växande grupper vars identitet eller tillhörighet inte har fastställts tydligt.

Även om det inte fanns några bevis för att någon kunddata hade använts olagligt, sa Microsoft att attackerna tillfälligt påverkade tillgängligheten för vissa tjänster. Det Redmond-baserade företaget sa att de vidare hade observerat gruppen utföra Layer 7 DDoS-attacker från flera molntjänster och öppna proxyinfrastrukturer.

Det involverar massattacker mot måltjänster med en stor volym HTTP(S)-förfrågningar; angriparen försöker kringgå CDN-lagret och överbelasta servrarna med hjälp av en teknik som kallas Slowloris.

Microsofts Security Response Center (MSRC) uppgav att dessa DDoS-attacker kommer från klienter som öppnar anslutningar till webbservrar, begär resurser (t.ex. bilder) men misslyckas med att bekräfta nedladdningar eller försenar acceptans, vilket tvingar servern att hålla anslutningen öppen och de begärda resurserna i minnet.

Som ett resultat upplevde Microsoft 365-tjänster som Outlook, Teams, SharePoint Online och OneDrive for Business avbrott i början av maj, och företaget uppgav att de upptäckte en avvikelse i den ökade antalet förfrågningar. Trafikanalyser visade att ett stort antal HTTP-förfrågningar kringgick befintliga automatiska skyddsåtgärder och utlöste svar på otillgänglighet hos tjänsten.

Hackergruppen Anonymous Sudan tog på sig ansvaret för attackerna, men Microsoft kopplade inte Storm-1359 till dem. Anonymous Sudan hade tidigare inlett DDoS-attacker mot organisationer i Sverige, Nederländerna, Australien och Tyskland sedan början av året.

Analytiker på Trustwave sa att gruppen öppet länkar till Rysslands KillNet, som ofta använder berättelsen om att skydda islam som ett rättfärdigande för sina attacker. KillNet fick också uppmärksamhet för DDoS-attacker riktade mot vårdorganisationer som låg på Microsoft Azure, som såg nästan 60 attacker dagligen i februari 2023.

Anonymous Sudan samarbetade med KillNet och REvil för att bilda "DARKNET-parlamentet" och orkestrerade cyberattacker mot finansinstitut i Europa och USA, med det primära målet att förlama SWIFT:s verksamhet. Flashpoints register visar att KillNets motiv främst var ekonomiska, och använde ryskt stöd för att marknadsföra sina hyrda DDoS-tjänster.