Şirket, bu ayın başlarında Microsoft’a yönelik bir dizi DDoS saldırısının Azure, OneDrive ve Outlook dahil olmak üzere birden çok hizmette kesintiye yol açtığını söyledi. Blog yazısı Cuma.
Saldırılar, muhtemelen birden çok sanal özel sunucuyu, kiralık bulut altyapısı, açık proxy’ler ve DDoS araçlarıyla birlikte kullanan bir tehdit grubu tarafından gerçekleştirildi.
Microsoft’a göre müşteri verilerine erişildiğine veya güvenliğinin ihlal edildiğine dair hiçbir kanıt yoktu.
Microsoft müşterileri, 9 Haziran’da şu hata mesajlarını aldı: Azure portalına erişmeye çalışıyor. Bu kesinti, Microsoft Entra yönetici merkezine ve Microsoft Intune’a erişimi de etkiledi. Haftanın başlarında, bir dizi kesinti hizmeti kesintiye uğrattı. OneDrive, Outlook, SharePoint ve Takımlar.
Microsoft araştırmacıları, tehdit aktörünü kendi adı altında belirledi. benzersiz terminoloji Fırtına-1359 olarak. Anonim Sudan adlı bilgisayar korsanlığı yapan bir grup, daha önce saldırılar için üstlenildive Microsoft daha önce bu tehditlerin farkında olduğunu doğrulamıştı.
Son DDoS saldırıları, katman 3 veya 4 yerine katman 7’yi hedef aldı. L7 DDoS saldırıları, bir uygulamanın sunucu altyapısının öğelerini hedef alıyor. Siber Güvenlik ve Altyapı Güvenliği Ajansı. “Katman 7 saldırıları, meşru web sitesi trafiğine benzedikleri için özellikle karmaşık, gizli ve tespit edilmesi zor.”
CISA, L3 veya L4 saldırılarının sırasıyla ağ performansını yavaşlatmak veya bunaltmak için yüksek hacimli veri kullanan ağ ve taşıma katmanlarını hedef aldığını söylüyor.
Microsoft, müşterilerini gelecekteki DDoS saldırılarına karşı daha iyi korumak için Azure Web Uygulaması Güvenlik Duvarını ayarlamak da dahil olmak üzere L7 korumalarını güçlendirdiğini söyledi.
Microsoft, Storm-1359’un birden fazla bulut hizmetinden ve açık proxy altyapısından saldırı başlatmasına izin veren bot ağlarına ve araçlara erişimi olduğunu söyledi. Storm-1359’un birkaç tür L7 saldırısı başlattığı gözlemlendi:
- HTTP(S) sel saldırısı, saldırının sistem kaynaklarını yüksek miktarda SSL/TLS anlaşmaları ve HTTP(S) istekleri ile tüketmeye çalıştığı yer. Saldırılar, dünya çapında milyonlarca farklı kaynak IP’den gelen milyonlarca istek tarafından gerçekleştirilir.
- Saldırının CDN katmanını atladığı ve kaynak sunucuları aşırı yüklediği önbellek atlama.
- Bir istemcinin bir web sunucusuna bağlantı açtığı Slowloris, kaynakları (örneğin bir görüntüyü) talep eder ve indirmeyi kabul etmez veya indirmeyi yavaş yavaş kabul eder.
Araştırmacılar daha önce bilgisayar korsanlarını Rusya bağlantılı bilgisayar korsanı grubu Killnet’in bir alt grubunun çalışmasına bağladığından, Microsoft’un Storm-1359’u bilgisayar korsanlığı grubu Anonymous Sudan ile tam olarak eşitleyip eşitlemediği belirsizliğini koruyor.
Anonim Sudan, kısa süre önce UPS de dahil olmak üzere diğer kesintiler için kredi aldı. Bir UPS sözcüsü, şirketin ayın başlarında müşterileri etkilemeyen kısa bir kesinti yaşadığını söyledi. Şirket sebebi araştırıyor.
TrueSec’ten araştırmacılar, Killnet grubunun son zamanlarda yeteneklerini abarttığını ve operasyonlarına REvil’in eski bir küçük üyesini eklemiş olabileceğini söylüyor. Killnet ve Anonymous Sudan geçtiğimiz günlerde uluslararası bankacılık sistemini devirmek için bir plan duyurdu.