Microsoft Azure, OneDrive ve Outlook kullanıcılarının yaşadığı bir dizi hizmet kesintisi, Redmond tarafından Storm-1359 (namı diğer Anonim Sudan) – bir Rusya- olarak izlenen bir tehdit aktörü tarafından gerçekleştirilen büyük bir dağıtılmış hizmet reddi (DDoS) saldırısının sonucuydu. Killnet kolektifiyle bağlantılı olduğu iddia edilen uyumlu veya destekli grup.
Trafikteki dalgalanmalar Haziran 2023’ün başında tespit edildi, ancak siber saldırının kullanıcı verilerine herhangi bir yetkisiz erişim veya bunların gizliliğinin ihlal edilmesiyle sonuçlandığı düşünülmüyor.
Microsoft, Storm-1359’un saldırılarının Katman 3 veya 4’ün aksine Katman 7’yi hedeflediğini ve birden çok sanal özel sunucuya, kiralık bulut altyapısına, açık proxy’lere ve diğer DDoS araçlarına erişimle desteklendiğini söyledi.
Açık Sistemler Ara Bağlantısı (OSI) çerçevesi altında, bir Katman 7 saldırısı, kaynakları bağlamak ve bir hizmetin kullanıcılarına içerik sunmasını durdurmak için uygulama katmanı işlemlerini hedefler. Verileri ağdan ağa aktaran ağ katmanını hedefleyen Katman 3 DDoS saldırısından ve verileri aygıttan aygıta aktaran taşıma katmanını hedefleyen Katman 4 saldırısından farklıdır.
Her Katman OSI modelinin işlevi değişebilir, ancak bu tür tüm saldırıların amacı ve nihai etkisi aynıdır; bu, kaynaklarını aşarak hizmeti bozmak veya çökertmek.
“Microsoft, Storm-1359’un, tehdit aktörünün birden çok bulut hizmetinden ve açık proxy altyapısından DDoS saldırıları başlatmasını sağlayabilecek bir dizi botnet ve araç erişimine sahip olduğunu değerlendirdi. Microsoft’un MSRC siber birimindeki araştırma ekibi, Storm-1359’un kesintiye ve tanıtıma odaklanmış gibi göründüğünü söyledi.
MSRC, Storm-1359’un çok sayıda güvenli yuva katmanı (SSL) veya aktarım katmanı güvenliği (TLS) el sıkışması ve HTTP( S) talepler; kaynak sunucuları aşırı yüklemek için içerik dağıtım ağı (CDN) katmanını atlamaya çalışan önbellek atlamaları; ve istemcinin bir web sunucusuna bağlandığı Slowloris, bir kaynak ister, ancak ya indirmeyi onaylamaz ya da çok yavaş kabul eder, bu da kurban sunucuyu bağlı kalmaya ve istenen görevi tamamlamaya çalışırken bellek kaynaklarını kullanmaya zorlar.
Buna yanıt olarak MSRC, Microsoft’un kullanıcıları daha iyi korumak için Azure Web Uygulaması Güvenlik Duvarı’nın (WAF) altında bir dizi ince ayar yapmak da dahil olmak üzere Katman 7 korumalarını güçlendirdiğini söyledi.
Bununla birlikte, bu sertleştirme araçları ve teknikleri süper etkili kabul edilirken, Microsoft’un MSRC’si, müşterilerin kendi esneklik düzeylerini artırmak için teknik ayrıntıları ve önerilen eylemleri – burada belirtildiği gibi – gözden geçirmeleri gerektiğini söyledi.
Diğer şeylerin yanı sıra güvenlik ekipleri, Azure WAF gibi Katman 7 koruma hizmetlerini etkinleştirmek isteyebilir ve bilinen imzalarla HTTP(S) saldırılarını engellemek ve derecelendirmek, bot korumasını yapılandırmak, şüpheli veya kötü niyetli IP adreslerini taramak ve engellemek için özel WAF kuralları oluşturmayı düşünebilir. ve aralıklar ve kaynak bölgeden (büyük olasılıkla Rusya) veya tanımlanmış bir bölgenin dışından gelen trafiği engelleyin.
ANZ merkezli güvenlik uzmanı CyberCX’teki tehdit araştırmacıları, grubun Anonymous hacktivist markasını kullanmasına rağmen, ilk olarak Ocak ayında Telegram aracılığıyla iletişim kurduğu gözlemlenen Storm-1359/Anonim Sudan grubunun Anonymous’un kendisiyle herhangi bir bağlantısı olma ihtimalinin çok düşük olduğunu söyledi. , bu nedenle, Sudan ile herhangi bir bağlantı.
Dahası, ticaret aracı ve hedeflemesinin bilgisayar korsanlığı modeliyle uyumlu olmadığını, ancak Rus devletinin siber hedeflerini yansıtıyor gibi göründüğünü söylediler.
Analistler, Anonymous Sudan’ın gözlemlenen faaliyetlerine dayanarak, grubun Rusya tarafından desteklenme ihtimalinin yüksek olduğunu söyledi ve önümüzdeki aylarda faaliyetlerinin temposunun artma ihtimalinin yüksek olduğu konusunda uyardı. Önemli kaynaklara ve şüpheli ideolojik ilişkilere açık erişiminin onu “alışılmadık bir tehdit” haline getirdiğini eklediler.
Bu arada, geçen hafta sonlarında, daha geniş Killnet grubu, sözde kendi operatörlerinin yanı sıra Anonymous Sudan temsilcilerinin ve bir zamanlar Batılı örgütleri terörize eden ancak popülerlikten sıyrılan REvil fidye yazılımı operasyonunun üyelerinin katıldığı bir “Darknet parlamentosu” zirvesinin ardından manşetlere girdi. geç siber bilinç.
Bu zirvenin ardından, grup “yaptırım uygulayacağını” söyledi Avrupa bankacılık sisteminde, özellikle Swift gibi sistemleri hedef alan ve 48 saat içinde yıkıcı DDoS saldırıları tehdidinde bulunan.
Bu yazının yazıldığı sırada, Avrupa finansal sistemine yönelik önemli bir siber saldırı gözlemlenmedi.