مائیکروسافٹ نے تصدیق کی ہے کہ Azure، Outlook، اور OneDrive سروسز DDoS حملے کی وجہ سے متاثر ہوئی تھیں۔

مائیکروسافٹ کا کہنا ہے کہ یہ حملے کلاؤڈ انفراسٹرکچر رینٹل، پراکسی، اور ڈسٹری بیوٹڈ ڈینیئل آف سروس (DDoS) اٹیک ٹولز کے ساتھ مل کر ایک سے زیادہ ورچوئل پرائیویٹ سرورز (VPS) تک رسائی کا استعمال کرتے ہیں۔ Storm-#### (سابقہ DEV-####) ایک عارضی عہدہ ہے جسے ونڈوز کا مالک نامعلوم، ابھرتے ہوئے، یا ترقی پذیر گروہوں کو تفویض کرتا ہے جن کی شناخت یا وابستگی واضح طور پر قائم نہیں ہوئی ہے۔

اگرچہ اس بات کا کوئی ثبوت نہیں تھا کہ کسی بھی صارف کے ڈیٹا تک غیر قانونی طور پر رسائی کی گئی تھی، مائیکروسافٹ نے کہا کہ حملوں نے عارضی طور پر کچھ خدمات کی دستیابی کو متاثر کیا۔ ریڈمنڈ میں مقیم کمپنی نے کہا کہ اس نے گروپ کو متعدد کلاؤڈ سروسز اور اوپن پراکسی انفراسٹرکچر سے لیئر 7 ڈی ڈی او ایس حملے شروع کرنے کا مزید مشاہدہ کیا ہے۔

اس میں HTTP(S) درخواستوں کی ایک بڑی مقدار کے ساتھ ہدف کی خدمات پر بڑے پیمانے پر حملے شامل ہیں۔ حملہ آور CDN پرت کو نظرانداز کرنے کی کوشش کرتا ہے اور Slowloris کے نام سے مشہور تکنیک کا استعمال کرتے ہوئے سرورز کو اوورلوڈ کرتا ہے۔

مائیکروسافٹ کے سیکیورٹی رسپانس سینٹر (MSRC) نے بتایا کہ یہ DDoS حملے ویب سرورز سے کنکشن کھولنے والے کلائنٹس سے ہوتے ہیں، وسائل کی درخواست کرتے ہیں (مثال کے طور پر، تصاویر) لیکن ڈاؤن لوڈ کی تصدیق کرنے میں ناکام رہتے ہیں یا قبولیت میں تاخیر کرتے ہیں، سرور کو کنکشن کو کھلا رکھنے پر مجبور کرتے ہیں اور درخواست کردہ وسائل کو میموری میں رکھتے ہیں۔

Microsoft xác nhận dịch vụ Azure, Outlook và OneDrive bị gián đoạn vì bị DDoS - Ảnh 1. — گمنام سوڈان نے Microsoft سروسز پر DDoS حملے کی ذمہ داری قبول کی ہے۔

نتیجے کے طور پر، مائیکروسافٹ 365 سروسز جیسے آؤٹ لک، ٹیمز، شیئرپوائنٹ آن لائن، اور OneDrive for Business کو مئی کے اوائل میں بندش کا سامنا کرنا پڑا، کمپنی نے کہا کہ اس نے درخواست کی شرح میں اضافے سے ایک بے ضابطگی کا پتہ لگایا۔ ٹریفک کے تجزیے سے یہ بات سامنے آئی کہ HTTP درخواستوں کی ایک بڑی تعداد نے موجودہ خودکار حفاظتی اقدامات کو نظرانداز کیا اور سروس کی عدم دستیابی کے جوابات کو متحرک کیا۔

ہیکر گروپ Anonymous سوڈان نے ان حملوں کی ذمہ داری قبول کی لیکن مائیکروسافٹ نے Storm-1359 کو ان سے نہیں جوڑا۔ گمنام سوڈان نے اس سے قبل سال کے آغاز سے سویڈن، نیدرلینڈز، آسٹریلیا اور جرمنی میں تنظیموں کے خلاف DDoS حملے شروع کیے تھے۔

ٹرسٹ ویو کے تجزیہ کاروں نے کہا کہ یہ گروپ کھلے عام روس کے کِل نیٹ سے تعلق رکھتا ہے، جو اکثر اپنے حملوں کے جواز کے طور پر اسلام کے تحفظ کے بیانیے کو استعمال کرتا ہے۔ KillNet نے Microsoft Azure پر میزبان صحت کی دیکھ بھال کرنے والی تنظیموں کو نشانہ بنانے والے DDoS حملوں پر بھی توجہ حاصل کی، جس میں فروری 2023 میں روزانہ تقریباً 60 حملے دیکھنے میں آئے۔

گمنام سوڈان نے KillNet اور REvil کے ساتھ مل کر "DARKNET پارلیمنٹ" کی تشکیل کی اور SWIFT کے آپریشنز کو مفلوج کرنے کے بنیادی مقصد کے ساتھ، یورپ اور امریکہ میں مالیاتی اداروں پر سائبر حملوں کا اہتمام کیا۔ فلیش پوائنٹ کے ریکارڈ سے پتہ چلتا ہے کہ KillNet کے مقاصد بنیادی طور پر مالی تھے، اس کی کرایہ پر لی گئی DDoS خدمات کو فروغ دینے کے لیے روسی تعاون کا استعمال کیا گیا۔

ماخذ لنک