Microsoft, Azure, Outlook ve OneDrive hizmetlerinin bir DDoS saldırısı nedeniyle kesintiye uğradığını doğruladı.

Microsoft, bu saldırıların bulut altyapısı kiralama, proxy'ler ve dağıtılmış hizmet reddi (DDoS) saldırı araçlarıyla birlikte birden fazla sanal özel sunucuya (VPS) erişimi kullandığını söylüyor. Storm-#### (eski adıyla DEV-####), Windows sahibinin kimliği veya bağlantısı net olarak belirlenmemiş, ortaya çıkan veya gelişmekte olan gruplara atadığı geçici bir tanımlamadır.

Herhangi bir müşteri verisine yasa dışı erişim olduğuna dair bir kanıt bulunmamakla birlikte, Microsoft saldırıların bazı hizmetlerin kullanılabilirliğini geçici olarak etkilediğini belirtti. Redmond merkezli şirket, grubun birden fazla bulut hizmetinden ve açık proxy altyapılarından Layer 7 DDoS saldırıları başlattığını da gözlemlediğini söyledi.

Bu, çok sayıda HTTP(S) isteği içeren hedef hizmetlere yönelik kitlesel saldırıları içerir; saldırgan, Slowloris olarak bilinen bir teknik kullanarak CDN katmanını atlamaya ve sunucuları aşırı yüklemeye çalışır.

Microsoft'un Güvenlik Yanıt Merkezi (MSRC), bu DDoS saldırılarının, istemcilerin web sunucularına bağlantı açmasından, kaynak (örneğin, resimler) talep etmesinden ancak indirmeleri onaylamamasından veya kabulü geciktirmesinden kaynaklandığını, bunun da sunucunun bağlantıyı açık tutmasına ve talep edilen kaynakları bellekte tutmasına neden olduğunu belirtti.

Sonuç olarak, Outlook, Teams, SharePoint Online ve OneDrive for Business gibi Microsoft 365 hizmetlerinde Mayıs ayı başlarında kesintiler yaşandı ve şirket, istek oranlarındaki artıştan kaynaklanan bir anormallik tespit ettiğini belirtti. Trafik analizi, çok sayıda HTTP isteğinin mevcut otomatik güvenlik önlemlerini atlayarak hizmetin kullanılamamasına neden olan yanıtları tetiklediğini ortaya koydu.

Hacker grubu Anonymous Sudan saldırıların sorumluluğunu üstlendi, ancak Microsoft Storm-1359'u onlarla ilişkilendirmedi. Anonymous Sudan, yıl başından bu yana İsveç, Hollanda, Avustralya ve Almanya'daki kuruluşlara karşı daha önce de DDoS saldırıları düzenlemişti.

Trustwave analistleri, grubun Rusya'nın KillNet ağıyla açıkça bağlantılı olduğunu ve KillNet'in saldırılarını haklı çıkarmak için sıklıkla İslam'ı koruma söylemini kullandığını belirtti. KillNet ayrıca, Şubat 2023'te günlük yaklaşık 60 saldırıya maruz kalan Microsoft Azure üzerinde barındırılan sağlık kuruluşlarını hedef alan DDoS saldırılarıyla da dikkat çekmişti.

Anonymous Sudan, KillNet ve REvil ile işbirliği yaparak "DARKNET parlamentosu"nu kurdu ve Avrupa ve ABD'deki finans kuruluşlarına siber saldırılar düzenledi; asıl amacı SWIFT işlemlerini felç etmekti. Flashpoint kayıtları, KillNet'in motivasyonlarının öncelikle finansal olduğunu ve Rusya'nın desteğini kullanarak kiraladığı DDoS hizmetlerini tanıttığını gösteriyor.