Microsoft ยืนยันว่าบริการ Azure, Outlook และ OneDrive ได้รับผลกระทบจาก DDoS

Microsoft กล่าวว่าการโจมตีใช้การเข้าถึงเซิร์ฟเวอร์ส่วนตัวเสมือน (VPS) หลายเครื่องร่วมกับโครงสร้างพื้นฐานคลาวด์ที่เช่า พร็อกซี และเครื่องมือโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) Storm-#### (เดิมเรียกว่า DEV-####) เป็นชื่อชั่วคราวที่กำหนดโดย Windows OEM ให้กับกลุ่มที่ไม่รู้จัก กลุ่มที่กำลังเกิดขึ้น หรือกลุ่มที่กำลังพัฒนา โดยมีเอกลักษณ์หรือสังกัดที่ไม่ชัดเจน

แม้ว่าจะไม่มีหลักฐานว่ามีการเข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาต แต่ Microsoft กล่าวว่าการโจมตีดังกล่าวส่งผลกระทบต่อความพร้อมใช้งานของบริการบางอย่างเป็นการชั่วคราว บริษัทที่มีฐานอยู่ในเมืองเรดมอนด์กล่าวว่าได้สังเกตเห็นว่ากลุ่มดังกล่าวเปิดตัวการโจมตี DDoS เลเยอร์ 7 เพิ่มเติมจากบริการคลาวด์หลายรายการและโครงสร้างพื้นฐานพร็อกซีแบบเปิด

เกี่ยวข้องกับการท่วมบริการเป้าหมายด้วยคำขอ HTTP(S) จำนวนมาก ผู้โจมตีพยายามข้ามเลเยอร์ CDN และโอเวอร์โหลดเซิร์ฟเวอร์ด้วยเทคนิคที่เรียกว่า Slowloris

ศูนย์ตอบสนองด้านความปลอดภัยของ Microsoft (MSRC) กล่าวว่าการโจมตี DDoS เหล่านี้มีต้นทางมาจากไคลเอนต์เปิดการเชื่อมต่อกับเว็บเซิร์ฟเวอร์ ร้องขอทรัพยากร (เช่น รูปภาพ) แต่ไม่ตอบรับการดาวน์โหลดหรือช้าในการยอมรับ ซึ่งบังคับให้เซิร์ฟเวอร์ต้องเปิดการเชื่อมต่อไว้และทรัพยากรที่ร้องขอไว้ในหน่วยความจำ

Microsoft xác nhận dịch vụ Azure, Outlook và OneDrive bị gián đoạn vì bị DDoS - Ảnh 1. — Anonymous Sudan อ้างความรับผิดชอบต่อการโจมตี DDoS บนบริการของ Microsoft

ส่งผลให้บริการ Microsoft 365 เช่น Outlook, Teams, SharePoint Online และ OneDrive for Business หยุดให้บริการในช่วงต้นเดือนนี้ โดยบริษัทแจ้งว่าตรวจพบความผิดปกติจากอัตราการร้องขอที่สูง การวิเคราะห์การรับส่งข้อมูลแสดงจำนวนคำขอ HTTP ที่ข้ามมาตรการป้องกันอัตโนมัติที่มีอยู่และทริกเกอร์การตอบสนองเนื่องจากบริการไม่พร้อมใช้งาน

กลุ่มแฮกเกอร์ Anonymous Sudan อ้างว่าเป็นผู้รับผิดชอบสำหรับการโจมตีครั้งนี้ แต่ Microsoft ไม่ได้เชื่อมโยง Storm-1359 กับกลุ่มดังกล่าว Anonymous Sudan ได้เปิดการโจมตี DDoS ต่อองค์กรในสวีเดน เนเธอร์แลนด์ ออสเตรเลีย และเยอรมนีตั้งแต่ต้นปีนี้

นักวิเคราะห์จาก Trustwave กล่าวว่ากลุ่มนี้ได้เชื่อมโยงตัวเองอย่างเปิดเผยกับ KillNet ของรัสเซีย ซึ่งมักใช้การปกป้องเรื่องเล่าเกี่ยวกับศาสนาอิสลามเป็นเหตุผลเบื้องหลังการโจมตี KillNet ยังได้รับความสนใจในเรื่องการโจมตี DDoS ต่อองค์กรด้านการดูแลสุขภาพที่โฮสต์บน Microsoft Azure ซึ่งเพิ่มขึ้นเป็นเกือบ 60 การโจมตีต่อวันในเดือนกุมภาพันธ์ 2023

Anonymous Sudan ได้ร่วมมือกับ KillNet และ REvil เพื่อจัดตั้ง “รัฐสภา DARKNET” และดำเนินการโจมตีทางไซเบอร์ต่อสถาบันการเงินในยุโรปและสหรัฐอเมริกา โดยมีภารกิจหลักในการทำให้การปฏิบัติการ SWIFT หยุดชะงัก เอกสารที่ยื่นต่อ Flashpoint แสดงให้เห็นว่าแรงจูงใจหลักของ KillNet เป็นเรื่องทางการเงิน โดยใช้การสนับสนุนจากรัสเซียในการโปรโมตบริการ DDoS-for-hire

ลิงค์ที่มา