Microsoft nói những cuộc tấn công này dùng quyền truy cập vào nhiều máy chủ ảo (VPS) kết hợp với thuê cơ sở hạ tầng đám mây, proxy và công cụ tấn công từ chối dịch vụ (DDoS). Storm-#### (trước đây là DEV-####) là tên gọi tạm thời mà hãng sở hữu Windows gán cho các nhóm chưa xác định, mới nổi hoặc đang phát triển mà danh tính hoặc liên kết chưa được thiết lập rõ ràng.
Dù không có bằng chứng cho thấy bất kỳ dữ liệu khách hàng bị truy cập trái phép, Microsoft nói các cuộc tấn công tạm thời ảnh hưởng đến tính khả dụng của một số dịch vụ. Hãng trụ sở tại Redmond cho biết đã quan sát thêm nhóm tung ra các cuộc tấn công DDoS lớp thứ 7 từ nhiều dịch vụ đám mây và cơ sở hạ tầng proxy mở.
Nó bao gồm các cuộc tấn công ồ ạt các dịch vụ mục tiêu bằng một lượng lớn yêu cầu HTTP(S); kẻ tấn công cố gắng bỏ qua lớp CDN và làm quá tải các máy chủ cùng một kỹ thuật được gọi là Slowloris.
Trung tâm phản hồi bảo mật của Microsoft (MSRC) cho biết các cuộc tấn công DDoS này xuất phát từ máy khách mở kết nối đến máy chủ web, yêu cầu tài nguyên (ví dụ: hình ảnh) nhưng không xác nhận tải xuống hoặc chậm chấp nhận, buộc máy chủ phải giữ kết nối mở và tài nguyên được yêu cầu trong bộ nhớ.
Hệ quả là các dịch vụ của Microsoft 365 như Outlook, Teams, SharePoint Online và OneDrive for Business đã ngừng hoạt động vào đầu tháng, hãng cho biết đã phát hiện thấy sự bất thường từ tỷ lệ yêu cầu tăng cao. Phân tích lưu lượng truy cập cho thấy số lượng yêu cầu HTTP đã bỏ qua các biện pháp phòng ngừa tự động hiện có và kích hoạt phản hồi không khả dụng của dịch vụ.
Nhóm tin tặc Anonymous Sudan đã nhận trách nhiệm về các cuộc tấn công, nhưng Microsoft lại không liên kết Storm-1359 với nhóm này. Anonymous Sudan từng tạo các cuộc tấn công DDoS chống lại các tổ chức tại Thụy Điển, Hà Lan, Úc và Đức từ đầu năm.
Các nhà phân tích tại Trustwave cho biết nhóm này công khai liên kết với KillNet của Nga, trong đó thường sử dụng câu chuyện bảo vệ đạo Hồi làm lý do đằng sau các cuộc tấn công. KillNet cũng đã thu hút sự chú ý khi tấn công DDoS nhằm vào các tổ chức chăm sóc sức khỏe được lưu trữ trong Microsoft Azure, tổ chức này tăng gần 60 cuộc tấn công hằng ngày vào tháng 2.2023.
Anonymous Sudan đã hợp tác với KillNet và REvil để thành lập "nghị viện DARKNET" và tổ chức các cuộc tấn công mạng vào các tổ chức tài chính ở châu Âu và Mỹ với nhiệm vụ số một là làm tê liệt hoạt động của SWIFT. Hồ sơ của Flashpoint cho biết động cơ của KillNet chủ yếu là tài chính, sử dụng sự hỗ trợ của Nga để quảng bá các dịch vụ DDoS cho thuê của mình.
Bình luận (0)