Na początku czerwca pojedyncze i poważne awarie usług dotknęły główny pakiet biurowy Microsoftu i platformę przetwarzania w chmurze. Tajemnicza grupa hakerska przyznała się do odpowiedzialności, twierdząc, że zalała witryny niepożądanym ruchem w rozproszonych atakach typu „odmowa usługi” (DDoS).
Początkowo Microsoft był powściągliwy w identyfikowaniu przyczyny, a teraz ujawnił, że rzeczywiście przyczyną były ataki DDoS przeprowadzone przez tajemniczego nowicjusza.
Gigant oprogramowania podał jednak niewiele szczegółów — i nie od razu skomentował, ilu klientów to dotyczy i czy wpływ jest globalny.
Rzeczniczka potwierdziła, że za atakami stoi ugrupowanie Anonymous Sudan. W tamtym czasie przyznała się do odpowiedzialności na swoim kanale społecznościowym Telegram. Niektórzy badacze bezpieczeństwa uważają, że grupa jest rosyjska.
Wyjaśnienie Microsoftu w poście na blogu pojawiło się po prośbie od Associated Press dwa dni temu. Omawiając szczegóły, w poście napisano, że ataki „tymczasowo wpłynęły na dostępność” niektórych usług.
Stwierdzono, że napastnicy skupili się na „zakłóceniach i propagandzie” i prawdopodobnie wykorzystali wynajętą infrastrukturę chmurową i wirtualne sieci prywatne do bombardowania serwerów Microsoftu z tak zwanych botnetów z całego świata.
Microsoft powiedział, że nie ma dowodów na to, że jakiekolwiek dane klientów zostały udostępnione lub naruszone.
Podczas gdy ataki DDoS są zasadniczo uciążliwe – uniemożliwiają dostęp do stron internetowych bez włamań – eksperci ds.
Nie jest jasne, czy tak właśnie się stało.
„Naprawdę nie mamy możliwości zmierzenia wpływu, jeśli Microsoft nie dostarczy tych informacji” — powiedział Jake Williams, starszy badacz cyberbezpieczeństwa i były haker ofensywny w Agencji Bezpieczeństwa Narodowego. Williams powiedział, że nie wiedział, że program Outlook był wcześniej atakowany na taką skalę.
„Wiemy, że niektóre zasoby były niedostępne dla niektórych, ale nie dla innych. Często zdarza się to w przypadku ataków DDoS w globalnie rozproszonych systemach” — dodał Williams.
Powiedział, że wyraźna niechęć Microsoftu do dostarczenia obiektywnej miary wpływu na klientów „może mówić o wolumenie”.
Microsoft nazwał atakujących Storm-1359, używając lokalizatora przypisanego do grup, których przynależność nie została jeszcze udowodniona. Szpiegostwo cybernetyczne zwykle zajmuje trochę czasu — a nawet wtedy może stanowić wyzwanie, jeśli przeciwnik jest wykwalifikowany.
Prorosyjskie grupy hakerskie, w tym Killnet – firma Mandiant zajmująca się cyberbezpieczeństwem, która według firmy Mandiant jest powiązana z Kremlem – zbombardowały rząd i inne strony internetowe sojuszników Ukrainy atakami DDoS.
W październiku zbombardowano niektóre miejsca na lotniskach amerykańskich. Analityk Alexander Leslie z firmy zajmującej się bezpieczeństwem cybernetycznym Recorded Future powiedział, że jest mało prawdopodobne, aby Anonymous Sudan znajdował się tak, jak twierdzi, w Sudanie, kraju afrykańskim.
Powiedział, że grupa ściśle współpracuje z Kelnetem i innymi grupami prokremlowskimi w celu szerzenia prorosyjskiej propagandy i dezinformacji.
Incydent Microsoftu pokazuje, że ataki DDoS pozostają „ogromnym ryzykiem, o którym wszyscy zgodzimy się unikać rozmów. Nazywanie tego nierozwiązanym problemem nie jest kontrowersyjne” – powiedział Edward Amoruso, profesor na Uniwersytecie Nowojorskim i dyrektor generalny TAG Cyber.
Powiedział, że trudności Microsoftu w przeciwdziałaniu temu konkretnemu atakowi wskazują na „pojedynczy punkt awarii”. Najlepszą obroną przed tymi atakami jest szeroka dystrybucja usługi, na przykład w sieci dystrybucji treści.
Brytyjski badacz bezpieczeństwa Kevin Beaumont powiedział, że metody stosowane przez atakujących nie są przestarzałe. „Jedno z nich pochodzi z 2009 roku” – powiedział.
Poważne skutki awarii pakietu Microsoft 365 Office zostały zgłoszone 5 czerwca, osiągając najwyższy poziom 18 000 awarii i problemów zgłoszonych w narzędziu do śledzenia Downdetector.
Tego dnia Microsoft poinformował na Twitterze, że problem dotyczy programów Outlook, Microsoft Teams, SharePoint Online i OneDrive dla Firm.
Ataki trwały przez cały tydzień, a Microsoft potwierdził 9 czerwca, że dotyczy to platformy przetwarzania w chmurze Azure.
8 czerwca serwis informacyjny poświęcony bezpieczeństwu komputerów BleepingComputer.com poinformował, że hosting plików w usłudze OneDrive w chmurze od pewnego czasu nie działa na całym świecie. Microsoft powiedział wówczas, że klienci komputerów stacjonarnych OneDrive nie zostali dotknięci, poinformował BleepingComputer.