Microsoft a attribué vendredi une série de pannes de service visant Azure, Outlook et OneDrive au début du mois à un cluster non catégorisé qu’il suit sous le nom Tempête-1359.
« Ces attaques reposent probablement sur l’accès à plusieurs serveurs privés virtuels (VPS) en conjonction avec une infrastructure cloud louée, des proxys ouverts et des outils DDoS », a déclaré le géant de la technologie. a dit dans un article vendredi.
Storm-#### (anciennement DEV-####) est une désignation temporaire que le fabricant de Windows attribue à des groupes inconnus, émergents ou en développement dont l’identité ou l’affiliation n’a pas encore été définitivement établie.
Bien qu’il n’y ait aucune preuve que des données client aient été consultées ou compromises, la société a noté que les attaques « ont temporairement affecté la disponibilité » de certains services. Redmond a déclaré avoir en outre observé le lancement de l’acteur menaçant Attaques DDoS de couche 7 à partir de plusieurs services cloud et d’infrastructures proxy ouvertes.
Cela inclut les attaques par inondation HTTP(S), qui bombardent les services cibles avec un volume élevé de requêtes HTTP(S) ; contournement du cache, dans lequel l’attaquant tente de contourner la couche CDN et de surcharger les serveurs d’origine ; et une technique connue sous le nom de Slowloris.
« Cette attaque se produit lorsque le client ouvre une connexion à un serveur Web, demande une ressource (par exemple, une image), puis ne reconnaît pas le téléchargement (ou l’accepte lentement) », a déclaré le Microsoft Security Response Center (MSRC). « Cela oblige le serveur Web à garder la connexion ouverte et la ressource demandée en mémoire. »
Services Microsoft 365 tels qu’Outlook, Teams, SharePoint Online et OneDrive Entreprise est descendu au début du mois, l’entreprise déclarant par la suite avoir détecté une « anomalie avec des taux de demande accrus ».
« L’analyse du trafic a montré un pic anormal dans les requêtes HTTP émises contre les origines du portail Azure, contournant les mesures préventives automatiques existantes et déclenchant la réponse d’indisponibilité du service », a-t-il déclaré. a dit.
Microsoft a en outre caractérisé le « arriviste trouble » comme axé sur les perturbations et la publicité. Un groupe hacktiviste connu sous le nom de Soudan anonyme a revendiqué la responsabilité pour les attentats. Cependant, il convient de noter que la société n’a pas explicitement lié Storm-1359 à Anonymous Sudan.
Qui est le Soudan Anonyme ?
Le Soudan anonyme a fait des vagues dans le paysage des menaces avec une série d’attaques DDoS contre des organisations suédoises, néerlandaises, australiennes et allemandes depuis le début de l’année.
Une analyse de Trustwave SpiderLabs fin mars 2023 indiqué que l’adversaire est probablement une émanation du groupe d’acteurs menaçants pro-russe KillNet qui a acquis sa notoriété au cours de la Conflit russo-ukrainien l’année dernière.
« Il s’est publiquement aligné sur le groupe russe KillNet, mais pour des raisons que seuls ses opérateurs connaissent, préfère utiliser l’histoire de la défense de l’islam comme raison de ses attaques », a déclaré Trustwave.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
KillNet a également attiré l’attention pour son Attaques DDoS contre des établissements de santé hébergées dans Microsoft Azure, qui sont passées de 10 à 20 attaques en novembre 2022 à 40 à 60 attaques par jour en février 2023.
Le collectif affilié au Kremlin, qui a vu le jour en octobre 2021, a en outre créé une « entreprise privée de piratage militaire » nommée Compétences noires dans le but de donner à ses activités de cybermercenaire un éclat d’entreprise.
Les connexions russes d’Anonymous Sudan sont également devenues évident dans le se réveiller de sa collaboration avec KillNet et REvil pour former un « parlement DARKNET » et orchestrer des cyberattaques contre les institutions financières européennes et américaines. « La tâche numéro un est de paralyser le travail de RAPIDE« , un message publié le 14 juin 2023, lire.
« KillNet, malgré son programme nationaliste, a été principalement motivé par des motifs financiers, utilisant le soutien enthousiaste de l’écosystème médiatique russe pro-Kremlin pour promouvoir ses services DDoS à louer », Flashpoint a dit dans un profil de l’adversaire la semaine dernière.
« KillNet s’est également associé à plusieurs fournisseurs de botnets ainsi qu’au Deanon Club – un groupe de menace partenaire avec lequel KillNet a créé Infinity Forum – pour cibler les marchés darknet axés sur les stupéfiants. »