Η Microsoft λέει ότι η διακοπή στις υπηρεσίες της στις αρχές Ιουνίου οφειλόταν σε κυβερνοεπίθεση DDoS

Την πρώτη εβδομάδα του Ιουνίου, η

Microsoft

υπέστη σημαντική διακοπή λειτουργίας που επηρέασε σχεδόν όλες τις υπηρεσίες της, συμπεριλαμβανομένων των Azure,

Outlook

και Teams. Η εταιρεία αποκάλυψε τώρα ότι πίσω από την παγκόσμια διακοπή βρισκόταν μια κυβερνοεπίθεση.

Σε ένα

ανάρτηση

, η Microsoft αποκάλυψε λεπτομέρειες σχετικά με την επίθεση στις αρχές Ιουνίου που προκάλεσε αναστάτωση στις υπηρεσίες της και χρειάστηκε σχεδόν 15 ώρες για να μετριαστεί η εταιρεία. Σύμφωνα με τον κολοσσό του Redmond, η εταιρεία εντόπισε μια αύξηση στην επισκεψιμότητα σε ορισμένες από τις υπηρεσίες της και ξεκίνησε έρευνα για την επίθεση DDoS (Distributed Denial-of-Service).

Η Microsoft σημείωσε περαιτέρω ότι οι φορείς απειλών χρησιμοποίησαν πολλαπλούς εικονικούς ιδιωτικούς διακομιστές (VPS), διακομιστή μεσολάβησης, ενοικιαζόμενες υποδομές

cloud

καθώς και εργαλεία DDoS για να εκτελέσουν την επίθεση. Ενώ η επίθεση ήταν πολύπλοκη, η Microsoft επιβεβαίωσε ότι τα δεδομένα πελατών δεν είχαν πρόσβαση ούτε παραβιάστηκαν.

Αυτή η πρόσφατη δραστηριότητα DDoS στόχευε το επίπεδο 7 και όχι το επίπεδο 3 ή 4. Η Microsoft σκληρύνει τις προστασίες επιπέδου 7, συμπεριλαμβανομένου του συντονισμού του τείχους προστασίας εφαρμογών Web (WAF) του Azure για την καλύτερη προστασία των πελατών από τις επιπτώσεις παρόμοιων επιθέσεων DDoS.

Η Microsoft μοιράστηκε επίσης τις τεχνικές λεπτομέρειες σχετικά με την επίθεση. Σύμφωνα με την εταιρεία, ο ηθοποιός απειλών Storm-1359 χρησιμοποίησε μια συλλογή από botnet και εργαλεία για να εξαπολύσει την επίθεση στους διακομιστές της εταιρείας. Αυτές περιελάμβαναν επίθεση πλημμύρας HTTP(S) για υπερφόρτωση του συστήματος και εξάντληση των πόρων μέσω ενός μεγάλου φόρτου χειραψιών SSL/TLS και αιτημάτων HTTP(S). Στην περίπτωση της Microsoft, ο εισβολέας είχε στείλει εκατομμύρια αιτήματα HTTP(S) από διευθύνσεις IP σε όλο τον κόσμο για υπερφόρτωση του συστήματος.

Όχι μόνο αυτό, αλλά ο εισβολέας χρησιμοποίησε επίσης την παράκαμψη της προσωρινής μνήμης για να παρακάμψει το επίπεδο CDN και να υπερφορτώσει το αρχικό σύστημα με μια σειρά ερωτημάτων. Τέλος, ο εισβολέας είχε χρησιμοποιήσει το Slowloris όπου ο πελάτης ζητά έναν πόρο από τον διακομιστή αλλά αποτυγχάνει να επιβεβαιώσει την παραλαβή του πόρου, αναγκάζοντας τον διακομιστή να διατηρήσει τη σύνδεση ανοιχτή και τον πόρο στη μνήμη του.

Η Microsoft εκτίμησε ότι το Storm-1359 έχει πρόσβαση σε μια συλλογή botnets και εργαλείων που θα μπορούσαν να επιτρέψουν στον παράγοντα απειλής να ξεκινήσει επιθέσεις DDoS από πολλές υπηρεσίες cloud και ανοιχτές υποδομές διακομιστή μεσολάβησης. Το Storm-1359 φαίνεται να επικεντρώνεται στην αναστάτωση και τη δημοσιότητα.

Η Microsoft ολοκλήρωσε την ανάρτηση με μια σειρά από συμβουλές και συστάσεις για τους πελάτες του Azure για την προστασία τους από επιθέσεις DDoS στο Επίπεδο 7 στο μέλλον. Η εταιρεία, ωστόσο, δεν αποκάλυψε λεπτομέρειες σχετικά με τη ζημιά ή τυχόν οικονομικές επιπτώσεις που έπρεπε να υποστεί λόγω της επίθεσης.