Microsoft twierdzi, że awaria usług na początku czerwca była spowodowana cyberatakiem DDoS

W pierwszym tygodniu czerwca firma Microsoft doznała poważnej awarii, która wpłynęła na prawie wszystkie jej usługi, w tym Azure, Outlook i Teams . Firma ujawniła teraz, że za globalną awarią stał cyberatak.

W poście na blogu Microsoft ujawnił szczegóły dotyczące ataku z początku czerwca, który spowodował zakłócenia w jego usługach, a złagodzenie skutków zajęło firmie prawie 15 godzin. Według giganta z Redmond, firma wykryła wzrost ruchu w niektórych swoich usługach i wszczęła dochodzenie w sprawie ataku DDoS (Distributed Denial-of-Service).

Microsoft zauważył ponadto, że cyberprzestępcy wykorzystali do przeprowadzenia ataku wiele wirtualnych serwerów prywatnych (VPS), serwerów proxy, wynajętą ​​infrastrukturę chmurową, a także narzędzia DDoS. Chociaż atak był wyrafinowany, Microsoft potwierdził, że nie uzyskano dostępu do danych klientów ani ich nie naruszono.

To niedawne działanie DDoS dotyczyło warstwy 7, a nie warstwy 3 lub 4. Firma Microsoft wzmocniła zabezpieczenia warstwy 7, w tym dostrajając zaporę Azure Web Application Firewall (WAF), aby lepiej chronić klientów przed wpływem podobnych ataków DDoS.

Microsoft podzielił się również szczegółami technicznymi związanymi z atakiem. Według firmy atakujący Storm-1359 wykorzystał kolekcję botnetów i narzędzi do przeprowadzenia ataku na serwery firmy. Obejmowały one atak HTTP(S) flood w celu przeciążenia systemu i wyczerpania zasobów przez duże obciążenie uzgadniania SSL/TLS i żądań HTTP(S). W przypadku Microsoftu atakujący wysłał miliony żądań HTTP(S) z adresów IP na całym świecie w celu przeciążenia systemu.

Nie tylko to, ale atakujący wykorzystał również obejście pamięci podręcznej, aby pominąć warstwę CDN i przeciążyć oryginalny system serią zapytań. Na koniec atakujący wykorzystał Slowloris, w którym klient żąda zasobu od serwera, ale nie potwierdza odbioru zasobu, zmuszając serwer do utrzymywania otwartego połączenia i zasobu w swojej pamięci.

Microsoft ocenił, że Storm-1359 ma dostęp do zbioru botnetów i narzędzi, które mogą umożliwić cyberprzestępcy przeprowadzanie ataków DDoS z wielu usług w chmurze i otwartych infrastruktur proxy. Storm-1359 wydaje się koncentrować na zakłóceniach i rozgłosie.

Microsoft zakończył post serią wskazówek i zaleceń dla klientów Azure, aby chronić ich przed atakami DDoS warstwy 7 w przyszłości. Firma nie ujawniła jednak szczegółów związanych ze szkodami ani skutkami finansowymi, jakie musiała ponieść w związku z atakiem.