Boston-
Na początku czerwca sporadyczne i poważne przerwy w świadczeniu usług dotknęły pakiet biurowy firmy Microsoft – w tym pocztę e-mail Outlook i aplikacje do udostępniania plików OneDrive – oraz jej platformę przetwarzania w chmurze. Ciemna grupa hakerska przyznała się do odpowiedzialności, twierdząc, że zalała witryny niepożądanym ruchem w rozproszonych atakach typu „odmowa usługi”.
Początkowo Microsoft był powściągliwy w określeniu przyczyny, a teraz ujawnił, że rzeczywiście przyczyną były ataki DDoS przeprowadzone przez tajemniczego nowicjusza.
Gigant oprogramowania podał jednak niewiele szczegółów — i nie od razu skomentował, ilu klientów to dotyczyło i czy wpływ ma charakter globalny. Rzeczniczka potwierdziła, że za atakami stoi ugrupowanie Anonymous Sudan. W tamtym czasie przyznała się do odpowiedzialności na swoim kanale społecznościowym Telegram. Niektórzy badacze bezpieczeństwa uważają, że grupa jest rosyjska.
Wyjaśnienie Microsoftu pojawiło się w poście na blogu w piątek wieczorem, po otrzymaniu prośby od Associated Press dwa dni wcześniej. Omawiając szczegóły, w poście napisano, że ataki „tymczasowo wpłynęły na dostępność” niektórych usług. Stwierdzono, że napastnicy skupili się na „zakłóceniach i propagandzie” i prawdopodobnie wykorzystali wynajętą infrastrukturę chmurową i wirtualne sieci prywatne do bombardowania serwerów Microsoftu z tak zwanych botnetów z całego świata.
Microsoft powiedział, że nie ma dowodów na to, że jakiekolwiek dane klientów zostały udostępnione lub naruszone.
Podczas gdy ataki DDoS są zasadniczo uciążliwe – uniemożliwiają dostęp do stron internetowych bez włamań – eksperci ds.
Nie jest jasne, czy tak właśnie się stało.
„Naprawdę nie mamy możliwości zmierzenia wpływu, jeśli Microsoft nie dostarczy tych informacji” — powiedział Jake Williams, starszy badacz cyberbezpieczeństwa i były haker ofensywny w Agencji Bezpieczeństwa Narodowego. Williams powiedział, że nie wiedział, że program Outlook był wcześniej atakowany na taką skalę.
„Wiemy, że niektóre zasoby były niedostępne dla niektórych, ale nie dla innych. Często zdarza się to w przypadku ataków DDoS w globalnie rozproszonych systemach” — dodał Williams. Powiedział, że pozorna niechęć Microsoftu do dostarczenia obiektywnej miary wpływu na klientów „może mówić o wolumenie”.
Microsoft nazwał atakujących Storm-1359, używając lokalizatora przypisanego do grup, których przynależność nie została jeszcze udowodniona. Szpiegostwo cybernetyczne zwykle zajmuje trochę czasu — a nawet wtedy może stanowić wyzwanie, jeśli przeciwnik jest wykwalifikowany.
Prorosyjskie grupy hakerskie, w tym Killnet – firma Mandiant zajmująca się cyberbezpieczeństwem, która według firmy Mandiant jest powiązana z Kremlem – zbombardowały rząd i inne strony internetowe sojuszników Ukrainy atakami DDoS. W październiku zbombardowano niektóre miejsca na lotniskach amerykańskich. Analityk Alexander Leslie z firmy zajmującej się bezpieczeństwem cybernetycznym Recorded Future powiedział, że jest mało prawdopodobne, aby Anonymous Sudan znajdował się tak, jak twierdzi, w Sudanie, kraju afrykańskim. Powiedział, że grupa ściśle współpracuje z Kelnetem i innymi grupami prokremlowskimi w celu szerzenia prorosyjskiej propagandy i dezinformacji.
Incydent Microsoftu pokazuje, że ataki DDoS pozostają „ogromnym ryzykiem, o którym wszyscy zgadzamy się unikać rozmów. Nazywanie tego nierozwiązanym problemem nie jest kontrowersyjne” – powiedział Edward Amoruso, profesor na Uniwersytecie Nowojorskim i dyrektor generalny TAG Cyber.
Powiedział, że trudności Microsoftu w przeciwdziałaniu temu konkretnemu atakowi wskazują na „pojedynczy punkt awarii”. Najlepszą obroną przed tymi atakami jest szeroka dystrybucja usługi, na przykład w sieci dystrybucji treści.
Brytyjski badacz bezpieczeństwa Kevin Beaumont powiedział, że metody stosowane przez atakujących nie są przestarzałe. „Jedno z nich pochodzi z 2009 roku” – powiedział.
Poważne skutki awarii pakietu Microsoft 365 Office zostały zgłoszone w poniedziałek, 5 czerwca, osiągając szczyt 18 000 awarii i problemów zgłoszonych w Downdetector krótko po godzinie 11:00 czasu wschodniego.
Tego dnia Microsoft poinformował na Twitterze, że problem dotyczy programów Outlook, Microsoft Teams, SharePoint Online i OneDrive dla Firm.
Ataki trwały przez cały tydzień, a Microsoft potwierdził 9 czerwca, że dotyczy to platformy przetwarzania w chmurze Azure.
8 czerwca serwis informacyjny poświęcony bezpieczeństwu komputerowemu BleepingComputer.com poinformował, że hosting plików w usłudze OneDrive w chmurze od pewnego czasu nie działa na całym świecie.
Microsoft powiedział wówczas, że klienci komputerów stacjonarnych OneDrive nie zostali dotknięci, poinformował BleepingComputer.