DDoS Koruması , Güvenlik İşlemleri
Saldırının Arkasındaki Muhtemel Rus Yanlısı Grup ‘Anonim Sudan’
Micheal Novinson (Michael Novinson) •
17 Haziran 2023
Microsoft, Cuma günü geç saatlerde Azure ve Microsoft 365’i rahatsız eden haftalarca süren kesintilerin Rus yanlısı bir bilgisayar korsanlığı grubu tarafından gerçekleştirilen DDoS saldırılarından kaynaklandığını kabul etti.
Ayrıca bakınız: Bir Sonraki Botnet’in Parçası Olmadığınızdan Nasıl Emin Olabilirsiniz?
Bilgi işlem devi, bir tehdit aktörünün Haziran başından bu yana botnet koleksiyonu sayesinde birden fazla bulut hizmetinden ve açık proxy altyapısından DDoS saldırıları başlattığını söyledi. Microsoft, az duyurulan bir blog gönderisinde, saldırıların büyük olasılıkla birden fazla sanal özel sunucuya ve ayrıca kiralık bulut altyapısına, açık proxy’lere ve DDoS araçlarına erişime dayandığını söyledi.
Microsoft, sorumlu tehdit aktörünü Storm-1359 olarak izliyor ve grubun kesintiye ve tanıtıma odaklandığını söyledi. Cuma gününe kadar Microsoft, kesintileri teknik bir sorun olarak ele aldı ve 9 Haziran’daki bir Azure kesintisi hakkında “dahili telemetrinin artan istek oranlarıyla bir anormallik bildirdiğini” yazdı. Şirket, yeni keşfedilen, bilinmeyen, ortaya çıkan veya gelişmekte olan bir tehdit etkinliği kümesi olduğunda tehdit aktörleri için bir “Fırtına” etiketi kullanır. Kendini “Anonim Sudan” olarak tanımlayan bir DDoS bilgisayar korsanlığı grubu, bu ay boyunca Telegram kanalında çok sayıda gönderide saldırıların sorumluluğunu üstlendi. Associated Press’e bir Microsoft sözcüsü, saldırıların arkasında grubun olduğunu doğruladı (bkz: İhlal Özeti: Amazon, ABD FTC Soruşturmalarını Çözdü).
İsimsiz Sudan, Ocak ayında bir araya geldi ve daha önce İsveç, Hollanda, Avustralya ve Alman kuruluşlarına karşı sözde bu ülkelerde meydana gelen Müslüman karşıtı faaliyetlere misilleme olarak bir dizi DDoS saldırısı gerçekleştirdi. İsveçli siber güvenlik firması Truesec, Şubat ayında Anonymous Sudan’ın büyük olasılıkla bir Rus bilgi operasyonu olduğu sonucuna vardı. Mart ayında Trustwave, “Anonim Sudan’ın Rus yanlısı tehdit aktörü grubu Killnet’in bir alt grubu olduğuna dair çok güçlü bir olasılık” buldu.
Trustwave 30 Mart’ta “Anonim Sudan’ın tercih ettiği saldırı vektörü, Killnet’in gerçekleştirdiği saldırı türü olan DDoS saldırılarıdır.” ve hedefler, Rusya’ya karşı mücadelesinde Ukrayna’yı destekleyen tüm uluslardır.”
Microsoft, tehdit aktörünün üç tür uygulama katmanı DDoS saldırısı kullandığını söyledi. Bir tür, farklı kaynak IP’lerden dünya genelinde dağıtılan milyonlarca HTTP isteği göndererek sistem arka ucunun işleme ve bellek kaynaklarının tükenmesine neden olur.
Storm-1359 ayrıca, ön uç katmanını önbelleğe alınmış içeriklerden hizmet vermek yerine tüm istekleri kaynağa iletmeye zorlayarak, kaynak sunucuları aşırı yükleyen, oluşturulan URL’lere karşı bir dizi sorgu gönderir. Tehdit aktörleri ayrıca bir web sunucusuna bağlantı açar, bir kaynak ister ancak indirmeyi onaylamaz ve sunucuyu kaynağı bellekte tutmaya zorlar.
Microsoft, müşterileri benzer DDoS saldırılarının etkilerinden daha iyi korumak için Azure Web Uygulaması Güvenlik Duvarı’nı ayarladı ve korumalarının kesintilerin çoğunu azaltmada oldukça etkili olduğunu söyledi. Microsoft’a göre Azure WAF kullanan müşteriler, web uygulamalarının korunmasına yardımcı olmak için tanımlanmış bir coğrafi bölgenin dışından gelen trafiği engellemeli, sınırlandırmalı veya yeniden yönlendirmelidir.
Şirket, müşteri verilerine erişildiğine veya gizliliğinin ihlal edildiğine dair herhangi bir kanıt görmediğini söyledi. Ancak Microsoft’un blog yazısı, hizmet kesintilerinden kaç müşterinin etkilendiğini, etkinin ciddiyetini ve küresel olup olmadığını söylemiyor. Müşteriler, hizmet kesintilerini ilk olarak 5 Haziran’da Microsoft 365 ofis paketi kesintilerine bildirdi.