Представители Microsoft подтвердили, что недавние сбои в работе порталов Azure, Outlook и OneDrive были вызваны DDoS-атаками Layer 7. В компании связали эти атаки с группировкой Storm-1359, которая сама называет себя Anonymous Sudan.
DDoS
Сбои в работе сервисов наблюдались в начале июня 2023 года. По сообщениям издания Bleeping Computer, Outlook.com был атакован 7 июня, OneDrive — 8 июня, а портал Microsoft Azure — 9 июня.
Тогда Microsoft не сообщала о DDoS-атаках официально, но можно было понять, что причина в них, так как компания отмечала, что в некоторых случаях, были «применены процессы балансировки нагрузки, чтобы смягчить проблему».
Ответственность за эти атаки взяла на себя группировка Anonymous Sudan, заявив, что DDoS’ит Microsoft в знак протеста против вмешательства США во внутренние дела Судана.
«Мы можем атаковать любую американскую компанию, которую захотим. Американцы, не вините нас, вините свое правительство за планы по вмешательству во внутренние дела Судана. Мы продолжим нацеливаться на крупные американские компании, правительство и инфраструктуру», — писали хакеры.
Как теперь официально подтвердили в Microsoft Security Response Center, сбои в работе сервисов действительно были вызваны DDoS-атаками Layer 7, и ответственность за это лежит на хак-группе, которую в компании отслеживают под идентификатором Storm-1359.
«С начала июня 2023 года Microsoft обнаруживала всплески трафика для некоторых сервисов, которые временно влияли на их доступность. Эти атаки, вероятно, основывались на доступе к ряду VPS в сочетании с арендованной облачной инфраструктурой, открытыми прокси и DDoS-инструментами», — гласит отчет.
Исследователи добавляют, что в своих атаках Anonymous Sudan использует три типа DDoS Layer 7: HTTP(S)-флуд, Cache bypass и Slowloris.
Anonymous Sudan
Хотя Microsoft отслеживает эту группировку как Storm-1359, выше уже было сказано, что группа более известна как Anonymous Sudan. Группировка появилась в январе 2023 года, заявив, что будет атаковать любую страну, выступающую против Судана.
Последние полгода группировка нацеливалась на организации и правительственные учреждения по всему миру, устраивая DDoS-атаки, а также взломы и утечки данных. Начиная с мая 2023 года, хак-группа атаковала крупные организации, требуя выкуп за прекращение DDoS-атак. Сначала такие атаки были нацелены на компанию Scandinavian Airlines (SAS), а после хакеры переключились на сайты американских компаний, таких как Tinder, Lyft и медицинских учреждений по всей территории США.
Когда Anonymous Sudan обратили свое внимание на Microsoft и начали DDoS-атаки на Outlook, Azure и OneDrive, они потребовали 1 000 000 долларов за прекращение атак.
«Вам не удалось отразить атаку, которая продолжалась несколько часов, так как насчет того, чтобы заплатить нам 1 000 000 долларов США, и мы научим ваших специалистов по кибербезопасности отражать атаки и остановим атаку с нашей стороны? Миллион долларов США — это ничто для такой компании, как ваша», — писали злоумышленники.
При этом некоторые ИБ-исследователи считают, что группировка выступает под ложным флагом и на самом деле может быть связана с Россией. Эти подозрения лишь усилились после, когда хакеры заявили о создании «парламента DARKNET'a», состоящего из других пророссийских хакеров, включая Killnet и REvil, а затем приняли участие в недавней атаке на Европейский инвестиционный банк (ЕИБ).
В ответ на эти подозрения хакеры сообщили в своем Telegram-канале (явно используя машинный перевод):
В ответ на эти подозрения хакеры сообщили в своем Telegram-канале (явно используя машинный перевод):
«Все думают, что мы русские, и это что-то очень неправильное, и причина в том, что все страны, на которые мы нападаем, враждебны России, но в то же время враждебны исламу или Судану. Так это доказательство того, что мы русские? Я не знаю, как люди думают !!».
Источник: Хакер