Microsoft, Azure ve Outlook hizmetlerindeki kesintilerin, şirketin Storm-1359 olarak izlediği tehdit aktörüne yüklediği DDoS saldırılarından kaynaklandığını doğruladı.
Bu, teknoloji devinin tehditler için yeni terminolojisini takip ediyor; burada Storm, geliştirilmekte olan bir grubu ifade ediyor.
Aksi halde Anonim Sudan olarak bilinen grubun, bu yıl şimdiye kadar Fransa, Danimarka ve İsveç ile anlaşmazlıkları olan, siyasi olarak motive olmuş, kendi kendini “hacktivist” ilan eden Sudanlı bir çete olduğu söyleniyor.
Microsoft DDoS saldırılarının arkasındaki Sudanlı tehdit aktörü
Microsoft, Storm-1359’un, yüksek miktarda SSL/TLS anlaşması ve HTTP(S) isteklerinin arka ucun CPU’sunun ve belleğinin tükenmesine neden olduğunu gören bir HTTP(S) flood saldırısı da dahil olmak üzere çeşitli layer 7 DDoS saldırıları başlattığını söylüyor. Bu durumda, aynı anda milyonlarca talebin yapıldığına inanılıyor.
Grup ayrıca, ön uç katmanını önbelleğe alınmış içerikleri almak yerine istekleri kaynağa yönlendirmeye zorlayan önbellek baypas taktiklerini ve bir web sunucusunu indirme işlemini kabul etmeyerek bağlantıyı açık tutmaya zorlayan slowloris’i kullandı.
Microsoft yaptığı duyuruda , “Bu saldırılar muhtemelen kiralık bulut altyapısı, açık proxy’ler ve DDoS araçlarıyla birlikte birden çok sanal özel sunucuya (VPS) erişime dayanıyor” dedi .
Nihayetinde, Haziran ayı başlarında hizmetler bir dizi gün boyunca kesintiye uğrarken, Microsoft “müşteri verilerine erişildiğine veya bunların gizliliğinin ihlal edildiğine dair hiçbir kanıt görmediğini” söylüyor.
Şirket ayrıca, müşterilerin gelecekte layer 7 DDoS saldırılarına karşı etkilerini azaltmak için atabilecekleri, web sitesinde özetlenen birkaç adım da attı.