微软已经证实,最近Azure、Outlook和OneDrive门户网站的中断是由于针对该公司服务的第7层DDoS攻击造成的。
这些攻击是由微软追踪到的一个名为Storm-1359的攻击组织造成的,他们自称是匿名苏丹。
故障发生在6月初,Outlook.com的网络门户在6月7日被攻击,OneDrive在6月8日被攻击,而微软Azure门户在6月9日被攻击。
微软当时没有说明他们正在遭受DDoS攻击,直至在上周发布的初步根源报告中,微软才暗示了遭遇DDoS攻击,称网络流量的激增导致了Azure的中断。
在上周五发布的微软安全响应中心的帖子中,微软现在确认这些故障是由他们跟踪的威胁行为者Storm-1359对其服务进行的第7层DDoS攻击造成的。
这些攻击可能依赖于对多个虚拟私人服务器(VPS)的访问,结合租用的云基础设施、开放式代理和DDoS工具。
目前微软方面表示没有客户数据被访问或泄露。
第7层DDoS攻击是指攻击者以应用层面为目标,用大量的请求淹没服务器资源,导致服务器中断,因为它们无法全部处理。
微软表示,匿名苏丹使用三种类型的第7层DDoS攻击:HTTP(S)洪水攻击、缓存绕过和Slowloris。
每一种DDoS方法都会使网络服务不堪重负,用大量的请求淹没服务器资源,使它们无法再接受新的请求。
谁是匿名苏丹?
匿名苏丹组织于2023年1月开始活跃,声称他们将对任何反对苏丹的国家进行攻击。
从那时起,该组织就把目标对准了世界各地的组织和政府机构,通过DDoS攻击使它们瘫痪或泄露被盗数据。
从5月开始,该组织以大型企业为目标,进行勒索攻击。首次进行勒索攻击是对斯堪的纳维亚航空公司(SAS),要求支付3500美元来停止DDoS攻击。
该组织后来将美国公司的网站作为目标,如Tinder、Lyft和美国各地的各种医院。
6月,匿名苏丹将注意力转向微软,他们开始对Outlook、Azure和OneDrive的网络门户进行DDoS攻击,并勒索100万美元来停止攻击。
在对Outlook的DDoS攻击中,该组织说他们是为了抗议美国对苏丹政治的介入而进行的。
然而,一些网络安全研究人员认为这是一个假象,该组织可能与俄罗斯有关。
之所以这样认为,是因为该组织声称要组建一个 "DARKNET议会",由其他亲俄组织组成,如KILLNET和 REvil。
随后该组织发出通告,"72小时前,来自俄罗斯和苏丹的三个黑客组织负责人在DARKNET议会举行了一次例会,并达成了一个共同的决定,即欧洲银行基础设施将受到攻击“。
虽然目前没有迹象表明对欧洲银行系统进行攻击,但该组织已经表明他们有大量资源可供支配,金融机构应该对潜在的破坏保持警惕。
https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-azure-outlook-outages-caused-by-ddos-attacks/