ไมโครซอฟต์ยืนยันว่าบริการ Azure, Outlook และ OneDrive ได้รับผลกระทบจากการโจมตีแบบ DDoS

[โฆษณา_1]

ไมโครซอฟต์ระบุว่าการโจมตีเหล่านี้ใช้การเข้าถึงเซิร์ฟเวอร์ส่วนตัวเสมือน (VPS) หลายเครื่องร่วมกับการเช่าโครงสร้างพื้นฐานคลาวด์ พร็อกซี และเครื่องมือโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) Storm-#### (เดิมคือ DEV-####) เป็นการกำหนดชั่วคราวที่เจ้าของ Windows กำหนดให้กับกลุ่มที่ไม่ระบุตัวตน กลุ่มที่เกิดขึ้นใหม่ หรือกลุ่มที่กำลังพัฒนา ซึ่งยังไม่สามารถระบุตัวตนหรือสังกัดได้อย่างชัดเจน

แม้ว่าจะไม่มีหลักฐานว่ามีการเข้าถึงข้อมูลลูกค้าอย่างผิดกฎหมาย แต่ Microsoft กล่าวว่าการโจมตีดังกล่าวส่งผลกระทบต่อความพร้อมใช้งานของบริการบางอย่างชั่วคราว บริษัทที่ตั้งอยู่ในเมืองเรดมอนด์กล่าวเพิ่มเติมว่า ได้สังเกตเห็นกลุ่มดังกล่าวทำการโจมตี DDoS ระดับ Layer 7 จากบริการคลาวด์หลายแห่งและโครงสร้างพื้นฐานพร็อกซีแบบเปิด

การโจมตีแบบนี้เกี่ยวข้องกับการโจมตีบริการเป้าหมายจำนวนมากด้วยคำขอ HTTP(S) จำนวนมาก โดยผู้โจมตีพยายามหลีกเลี่ยงเลเยอร์ CDN และโอเวอร์โหลดเซิร์ฟเวอร์โดยใช้เทคนิคที่เรียกว่า Slowloris

ศูนย์ตอบสนองด้านความปลอดภัยของ Microsoft (MSRC) ระบุว่า การโจมตี DDoS เหล่านี้มีต้นกำเนิดมาจากไคลเอ็นต์ที่เปิดการเชื่อมต่อกับเว็บเซิร์ฟเวอร์ ร้องขอทรัพยากร (เช่น รูปภาพ) แต่ไม่สามารถยืนยันการดาวน์โหลดหรือหน่วงเวลาในการยอมรับ ทำให้เซิร์ฟเวอร์ต้องคงการเชื่อมต่อไว้และเก็บทรัพยากรที่ร้องขอไว้ในหน่วยความจำ

Microsoft xác nhận dịch vụ Azure, Outlook và OneDrive bị gián đoạn vì bị DDoS - Ảnh 1. — กลุ่มติดอาวุธนิรนามในซูดานอ้างความรับผิดชอบต่อการโจมตีแบบ DDoS ต่อบริการของ Microsoft

ส่งผลให้บริการ Microsoft 365 เช่น Outlook, Teams, SharePoint Online และ OneDrive for Business ประสบปัญหาขัดข้องในช่วงต้นเดือนพฤษภาคม โดยบริษัทระบุว่าตรวจพบความผิดปกติจากการเพิ่มขึ้นของจำนวนคำขอ การวิเคราะห์ปริมาณการใช้งานพบว่าคำขอ HTTP จำนวนมากได้ข้ามระบบป้องกันอัตโนมัติที่มีอยู่และทำให้เกิดการตอบสนองว่าบริการไม่พร้อมใช้งาน

กลุ่มแฮกเกอร์ Anonymous Sudan อ้างความรับผิดชอบต่อการโจมตีดังกล่าว แต่ Microsoft ไม่ได้เชื่อมโยง Storm-1359 กับการโจมตีเหล่านั้น ก่อนหน้านี้ Anonymous Sudan ได้ทำการโจมตีแบบ DDoS ต่อองค์กรต่างๆ ในสวีเดน เนเธอร์แลนด์ ออสเตรเลีย และเยอรมนี ตั้งแต่ต้นปีที่ผ่านมา

นักวิเคราะห์จาก Trustwave กล่าวว่า กลุ่มดังกล่าวเชื่อมโยงอย่างเปิดเผยกับ KillNet ของรัสเซีย ซึ่งมักใช้เรื่องการปกป้องศาสนาอิสลามเป็นข้ออ้างในการโจมตี KillNet ยังได้รับความสนใจจากการโจมตีแบบ DDoS ที่มุ่งเป้าไปที่องค์กรด้านการดูแลสุขภาพที่โฮสต์อยู่บน Microsoft Azure ซึ่งมีการโจมตีเกือบ 60 ครั้งต่อวันในเดือนกุมภาพันธ์ 2023

กลุ่มแฮ็กเกอร์นิรนามในซูดานร่วมมือกับ KillNet และ REvil เพื่อก่อตั้ง "รัฐสภาดาร์กเน็ต" และวางแผนโจมตีทางไซเบอร์ต่อสถาบันการเงินในยุโรปและสหรัฐอเมริกา โดยมีเป้าหมายหลักคือการทำให้ระบบ SWIFT เป็นอัมพาต บันทึกของ Flashpoint ชี้ให้เห็นว่าแรงจูงใจหลักของ KillNet คือเรื่องการเงิน โดยใช้การสนับสนุนจากรัสเซียเพื่อส่งเสริมบริการ DDoS ที่เช่ามา

[โฆษณา_2]
ลิงก์แหล่งที่มา