Microsoft потвърди, че неотдавнашните прекъсвания на работата на уеб порталите Azure, Outlook и OneDrive са резултат от DDoS атаки на ниво 7 срещу услугите на компанията.

Атаките се приписват на  заплаха, проследенa от Microsoft като Storm-1359, който нарича себе си Anonymous Sudan.

Прекъсванията са настъпили в началото на юни, като уеб порталът на Outlook.com е станал мишена на 7 юни, OneDrive – на 8 юни, а порталът на Microsoft Azure – на 9 юни.

По това време Microsoft не сподели, че е пострадала от DDoS атаки, но намекна, че те са причината, като за някои инциденти заяви, че „прилага процеси за балансиране на натоварването, за да намали проблема“.

В предварителния доклад за основната причина, публикуван миналата седмица, Microsoft допълнително намекна за DDoS атаки, като заяви, че скок в мрежовия трафик е причинил прекъсването на Azure.

„Идентифицирахме рязък скок в мрежовия трафик, който се отрази на способността за управление на трафика към тези сайтове и доведе до проблеми с достъпа на клиентите до тези сайтове“, обясни Microsoft.

В публикация на Центъра за реагиране на сигурността на Microsoft, публикувана в петък, компанията вече потвърждава, че тези прекъсвания са причинени от DDoS атака на 7-о ниво срещу техните услуги от  заплаха, която те проследяват като Storm-1359.

„Започвайки от началото на юни 2023 г., Microsoft идентифицира скокове в трафика срещу някои услуги, които временно повлияха на наличността. Майкрософт незабавно започна разследване и впоследствие започна да проследява продължаващата DDoS активност от страна на  заплаха, която компанията проследява като Storm-1359“, потвърдиха от Майкрософт.

„Тези атаки вероятно разчитат на достъп до множество виртуални частни сървъри (VPS) в комбинация с наета облачна инфраструктура, отворени проксита и DDoS инструменти.“

„Не сме видели доказателства, че данните на клиентите са били достъпни или компрометирани.“

DDoS атака от 7-мо ниво е, когатоизвършителите се насочват към нивото на приложенията, като претоварват услугите с огромен обем заявки, в резултат на което те увисват, тъй като не могат да се обработят всички.
Microsoft казва, че Anonymous Sudan използва три вида DDoS атаки на ниво 7: HTTP (S) flood атаки, заобикаляне на кеша и Slowloris.

Всеки DDoS метод претоварва дадена уеб услуга, като използва всички налични връзки, така че тя вече не може да приема нови заявки.

Кой е Anonymous Sudan?

Въпреки че Microsoft проследява заплахата като Storm-1359, тя е по-известна като Anonymous Sudan.

Anonymous Sudan стартира през януари 2023 г., като предупреждава, че ще извършва атаки срещу всяка държава, която се противопоставя на Судан.

Оттогава насам групата се е насочила към организации и правителствени агенции по целия свят, като ги е сривала с DDoS атаки или е извличала и публикувала данни.

От май групата се насочва към големи организации, като изисква плащания за прекратяване на атаките. За първи път атаките бяха насочени към Скандинавските авиолинии (SAS), като бандитите поискаха 3500 долара, за да спрат DDoS атаките.

По-късно групата се е насочила към уебсайтовете на американски компании, като Tinder, Lyft и различни болници в САЩ.

През юни Anonymous Sudan насочиха вниманието си към Microsoft, където започнаха DDoS атаки срещу портали за Outlook, Azure и OneDrive, достъпни през интернет, като поискаха 1 млн. долара за спиране на атаките.

„Вие не успяхте да отблъснете атаката, която продължава с часове, така че какво ще кажете да ни платите 1 000 000 USD и ние да научим вашите експерти по киберсигурност как да отблъскват атаката, а ние да я спрем от наша страна? 1 млн. щатски долара са дребни пари за компания като вас“, писа  групата.

По време на DDoS атаките срещу Outlook групата заяви, че те се провеждат в знак на протест срещу участието на САЩ в суданската политика.

„Това е непрекъсната кампания срещу американски/американски компании и инфраструктура заради изявлението на държавния секретар на САЩ, в което се казва, че има възможност за американско нахлуване в Судан“, заяви Anonymous Sudan.

Някои изследователи на киберсигурността обаче смятат, че това е фалшив флаг и че вместо това групата може да е свързана с Русия.

Тази връзка може да е станала още по-очевидна тази седмица, като групата твърди, че формира „парламент на DARKNET“, състоящ се от други проруски групи, като KILLNET и „REvil“.

„Преди 72 часа трима ръководители на хакерски групи от Русия и Судан проведоха редовна среща в парламента DARKNET и стигнаха до общо решение“, предупреждава групата за предстоящи атаки срещу европейската банкова инфраструктура.

„Днес започваме да налагаме санкции на европейските системи за банкови преводи SEPA, IBAN, WIRE, SWIFT, WISE“.

Макар да няма индикации, че атаките срещу европейските банкови системи са започнали, групата демонстрира, че разполага със значителни ресурси, и финансовите институции трябва да бъдат нащрек за потенциални смущения.