Microsoft, Azure, Outlook ve OneDrive Kesintileri İçin Büyük DDoS Saldırısını Suçluyor


19 Haziran 2023Ravie LakshmananAğ ve Bulut Güvenliği

Devasa DDoS Saldırısı

Cuma günü Microsoft, bu ayın başlarında Azure, Outlook ve OneDrive’ı hedefleyen bir dizi hizmet kesintisini, adı altında izlediği kategorize edilmemiş bir kümeye bağladı. Fırtına-1359.

Teknoloji devi Cuma günü yaptığı açıklamada, “Bu saldırılar muhtemelen kiralık bulut altyapısı, açık proxy’ler ve DDoS araçlarıyla birlikte birden çok sanal özel sunucuya (VPS) erişime dayanıyor.” dedi.

Storm-#### (önceden DEV-####), Windows üreticisinin kimliği veya bağlantısı henüz kesin olarak belirlenmemiş, bilinmeyen, gelişmekte olan veya gelişmekte olan gruplara atadığı geçici bir atamadır.

Herhangi bir müşteri verisine erişildiğine veya gizliliğinin ihlal edildiğine dair bir kanıt bulunmamakla birlikte şirket, saldırıların bazı hizmetlerin “geçici olarak kullanılabilirliğini etkilediğini” kaydetti. Redmond, tehdit aktörünün birden çok bulut hizmetinden ve açık proxy altyapısından 7. katman DDoS saldırıları başlattığını gözlemlediğini söyledi.

Buna, hedef hizmetleri yüksek hacimli HTTP(S) istekleriyle bombalayan HTTP(S) sel saldırıları dahildir; saldırganın CDN katmanını atlamaya ve kaynak sunucuları aşırı yüklemeye çalıştığı önbellek atlama; ve Slowloris olarak bilinen bir teknik.

Microsoft Güvenlik Yanıt Merkezi (MSRC), “Bu saldırı, istemcinin bir web sunucusuna bağlantı açtığı, bir kaynak (ör. bir görüntü) istediği ve ardından indirmeyi onaylamadığı (veya yavaş yavaş kabul ettiği)” dedi. “Bu, web sunucusunu bağlantıyı açık tutmaya ve istenen kaynağı bellekte tutmaya zorlar.”

Siber güvenlik

Microsoft ayrıca “karanlık sonradan başlamayı” kesintiye ve tanıtıma odaklanmış olarak nitelendirdi. olarak bilinen bir bilgisayar korsanlığı grubu İsimsiz Sudan saldırıların sorumluluğunu üstlendi. Ancak, şirketin Storm-1359’u Anonymous Sudan ile açıkça ilişkilendirmediğini belirtmekte fayda var.

Outlook, Teams, SharePoint Online ve OneDrive İş gibi Microsoft 365 hizmetleri aşağı gitti ayın başında, şirket daha sonra “artan talep oranlarında bir anormallik” tespit ettiğini bildirdi.

“Trafik analizi, Azure portal kaynaklarına karşı yayınlanan HTTP isteklerinde anormal bir artış olduğunu, mevcut otomatik önleyici tedbirleri atlayarak ve hizmetin kullanılamayan yanıtını tetiklediğini gösterdi” dedi.

İsimsiz Sudan kimdir?

Anonim Sudan, yılın başından bu yana İsveç, Hollanda, Avustralya ve Alman kuruluşlarına yönelik bir dizi DDoS saldırısıyla tehdit ortamında dalgalar yaratıyor.

Mart 2023’ün sonlarında Trustwave SpiderLabs tarafından yapılan bir analiz, düşmanın muhtemelen ilk kez geçen yıl Rusya-Ukrayna ihtilafı sırasında ün kazanan Rus yanlısı tehdit aktörü grubu KillNet’in bir kolu olduğunu gösterdi.

Trustwave, “Rus Killnet grubuyla alenen ittifak kurdu, ancak yalnızca operatörlerinin bildiği nedenlerle, saldırılarının ardındaki sebep olarak İslam’ı savunma hikayesini kullanmayı tercih ediyor” dedi.

YAKLAŞAN WEBİNAR

🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlama

API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!

Oturuma Katılın

KillNet, Kasım 2022’de 10-20 saldırıdan Şubat 2023’te günlük 40-60 saldırıya yükselen Microsoft Azure’da barındırılan sağlık kuruluşlarına yönelik DDoS saldırılarıyla da dikkat çekti.

İlk olarak Ekim 2021’de ortaya çıkan Kremlin’e bağlı kolektif, siber paralı asker faaliyetlerine kurumsal bir görünüm kazandırmak amacıyla Black Skills adlı bir “özel askeri bilgisayar korsanlığı şirketi” kurdu.

Anonymous Sudan’ın Rus bağlantıları, bir “DARKNET parlamentosu” oluşturmak ve Avrupa ve ABD finans kurumlarına siber saldırılar düzenlemek için KillNet ve REvil ile yaptığı işbirliğinin ardından da belirgin hale geldi. Mesajda “Bir numaralı görev, SWIFT’in çalışmasını felç etmektir” yazıyordu.

Flashpoint, geçen hafta rakibin bir profilinde, “Killnet, milliyetçi gündemine rağmen, kiralık DDoS hizmetlerini tanıtmak için Rus Kremlin yanlısı medya ekosisteminin istekli desteğini kullanarak, öncelikle mali amaçlarla hareket etti.”

“Killnet, narkotik odaklı darknet pazarlarını hedeflemek için birkaç botnet sağlayıcısının yanı sıra Killnet’in Infinity Forum’u oluşturduğu bir ortak tehdit grubu olan Deanon Club ile de ortaklık kurdu.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link