Microsoft attacchi DDos, Azure interruzioni di Outlook

Microsoft ha confermato che le recenti interruzioni dei portali Web di Azure, Outlook e OneDrive sono state causate da attacchi DDoS di livello 7 contro i servizi dell’azienda.
Gli attacchi sono stati attribuiti a un attore di minacce monitorato da Microsoft come Storm-1359, che si fa chiamare Anonymous Sudan.

Ddos-attack-outlook-microsoft

Le interruzioni si sono verificate all’inizio di giugno, con il portale Web di Outlook.com mirato il 7 giugno, OneDrive l’8 giugno e il portale di Microsoft Azure il 9 giugno.
Microsoft non ha condiviso al momento che stavano subendo attacchi DDoS, ma ha lasciato intendere che erano la causa, affermando per alcuni incidenti che stavano “applicando processi di bilanciamento del carico al fine di mitigare il problema”.

In un rapporto preliminare sulla causa principale pubblicato la scorsa settimana, Microsoft ha ulteriormente accennato agli attacchi DDoS, affermando che un picco nel traffico di rete ha causato l’interruzione di Azure.
“Abbiamo identificato un picco nel traffico di rete che ha influito sulla capacità di gestire il traffico verso questi siti e ha comportato problemi per i clienti di accedere a questi siti”, ha spiegato Microsoft.
In un post di Microsoft Security Response Center pubblicato venerdì, Microsoft ora conferma che queste interruzioni sono state causate da un attacco DDoS di livello 7 contro i loro servizi da parte di un attore di minacce che monitorano come Storm-1359.

“A partire dall’inizio di giugno 2023, Microsoft ha identificato picchi di traffico rispetto ad alcuni servizi che hanno temporaneamente influito sulla disponibilità. Microsoft ha prontamente aperto un’indagine e successivamente ha iniziato a monitorare l’attività DDoS in corso da parte dell’attore della minaccia che Microsoft traccia come Storm-1359 “, ha confermato Microsoft.
“Questi attacchi probabilmente si basano sull’accesso a più server privati virtuali (VPS) in combinazione con infrastrutture cloud noleggiate, proxy aperti e strumenti DDoS”.
“Non abbiamo visto alcuna prova che i dati dei clienti siano stati consultati o compromessi”.
Un attacco DDoS di livello 7 si verifica quando gli attori delle minacce prendono di mira il livello dell’applicazione sovraccaricando i servizi con un enorme volume di richieste, causando il blocco dei servizi in quanto non possono elaborarli tutti.
Microsoft afferma che Anonymous Sudan utilizza tre tipi di attacchi DDoS di livello 7: attacchi flood HTTP (S), bypass della cache e Slowloris.
Ogni metodo DDoS sovraccarica un servizio web, utilizzando tutte le connessioni disponibili in modo che non possano più accettare nuove richieste.

Chi è Anonymous Sudan?

Mentre Microsoft tiene traccia degli attori delle minacce come Storm-1359, sono più comunemente noti come Anonymous Sudan.
Anonymous Sudan è stato lanciato nel gennaio 2023, avvertendo che avrebbero condotto attacchi contro qualsiasi paese che si opponga al Sudan.
Da allora, il gruppo ha preso di mira organizzazioni e agenzie governative in tutto il mondo, abbattendole in attacchi DDoS o divulgando dati rubati.
A partire da maggio, il gruppo ha preso di mira le grandi organizzazioni, chiedendo pagamenti per fermare gli attacchi. Gli attacchi hanno inizialmente preso di mira Scandinavian Airlines (SAS), con gli attori della minaccia che chiedevano $ 3.500 per fermare gli attacchi DDoS.

Il gruppo in seguito ha preso di mira i siti Web di aziende americane, come Tinder, Lyft e vari ospedali negli Stati Uniti.
A giugno, Anonymous Sudan ha rivolto la propria attenzione a Microsoft, dove ha iniziato gli attacchi DDoS ai portali accessibili dal Web per Outlook, Azure e OneDrive, chiedendo 1 milione di dollari per fermare gli attacchi.

“Non siete riusciti a respingere l’attacco che è continuato per ore, quindi che ne dite di pagarci 1.000.000 di dollari e insegniamo ai vostri esperti di sicurezza informatica come respingere l’attacco e fermiamo l’attacco dalla nostra parte? 1 milione di dollari sono noccioline per un’azienda come te”, ha chiesto il gruppo.
Durante gli attacchi DDoS su Outlook, il gruppo ha detto che erano stati condotti in proteste contro il coinvolgimento degli Stati Uniti nella politica sudanese.

“Questa è una campagna continua contro le aziende e le infrastrutture statunitensi / americane a causa della dichiarazione del Segretario di Stato degli Stati Uniti che afferma che esiste la possibilità di un’invasione americana del Sudan”, ha dichiarato Anonymous Sudan.
Tuttavia, alcuni ricercatori di sicurezza informatica ritengono che questa sia una falsa bandiera e che il gruppo potrebbe invece essere collegato alla Russia.
Questo legame potrebbe essere diventato più evidente questa settimana, con il gruppo che afferma di formare un “parlamento DARKNET” composto da altri gruppi filo-russi, come KILLNET e “REvil”.

“72 ore fa, tre capi di gruppi di hacker provenienti da Russia e Sudan hanno tenuto una riunione regolare nel parlamento DARKNET e sono giunti a una decisione comune”, ha avvertito il gruppo sugli imminenti attacchi alle infrastrutture bancarie europee.
“Oggi stiamo iniziando a imporre sanzioni ai sistemi europei di trasferimento bancario SEPA, IBAN, WIRE, SWIFT, WISE”.
Sebbene non vi sia alcuna indicazione che gli attacchi ai sistemi bancari europei siano iniziati, il gruppo ha dimostrato di disporre di risorse significative e le istituzioni finanziarie dovrebbero essere in allerta per potenziali interruzioni.

Pubblicato da Luca Bocaletto

Sviluppatore, Creatore, Musicista, Artista, Radiantista, Scacchista.