Ngày 19 tháng 6 năm 2023Ravie LakshmananAn ninh mạng và đám mây
Microsoft vào thứ Sáu đã quy một loạt sự cố ngừng dịch vụ nhằm vào Azure, Outlook và OneDrive vào đầu tháng này cho một cụm chưa được phân loại mà nó theo dõi dưới tên Bão-1359.
“Những cuộc tấn công này có thể dựa vào quyền truy cập vào nhiều máy chủ riêng ảo (VPS) kết hợp với cơ sở hạ tầng đám mây thuê, proxy mở và công cụ DDoS,” gã khổng lồ công nghệ cho biết trong một bài đăng hôm thứ Sáu.
Storm-#### (trước đây là DEV-####) là tên gọi tạm thời mà nhà sản xuất Windows gán cho các nhóm chưa xác định, mới nổi hoặc đang phát triển mà danh tính hoặc liên kết chưa được thiết lập rõ ràng.
Mặc dù không có bằng chứng cho thấy bất kỳ dữ liệu khách hàng nào đã bị truy cập hoặc xâm phạm, công ty lưu ý rằng các cuộc tấn công “tạm thời ảnh hưởng đến tính khả dụng” của một số dịch vụ. Redmond cho biết họ đã quan sát thêm về tác nhân đe dọa tung ra các cuộc tấn công DDoS lớp 7 từ nhiều dịch vụ đám mây và cơ sở hạ tầng proxy mở.
Điều này bao gồm các cuộc tấn công HTTP(S), tấn công ồ ạt các dịch vụ mục tiêu bằng một lượng lớn yêu cầu HTTP(S); bỏ qua bộ đệm, trong đó kẻ tấn công cố gắng bỏ qua lớp CDN và làm quá tải máy chủ gốc; và một kỹ thuật được gọi là Slowloris.
“Cuộc tấn công này là nơi máy khách mở kết nối với máy chủ web, yêu cầu tài nguyên (ví dụ: hình ảnh) và sau đó không xác nhận tải xuống (hoặc chấp nhận chậm)”, Trung tâm phản hồi bảo mật của Microsoft (MSRC) cho biết. “Điều này buộc máy chủ web phải giữ kết nối mở và tài nguyên được yêu cầu trong bộ nhớ.”
Các dịch vụ của Microsoft 365 như Outlook, Teams, SharePoint Online và OneDrive for Business đã ngừng hoạt động vào đầu tháng, sau đó công ty cho biết họ đã phát hiện ra “sự bất thường với tỷ lệ yêu cầu tăng lên”.
“Phân tích lưu lượng truy cập cho thấy sự gia tăng đột biến bất thường trong các yêu cầu HTTP được đưa ra đối với nguồn gốc của cổng Azure, bỏ qua các biện pháp phòng ngừa tự động hiện có và kích hoạt phản hồi không khả dụng của dịch vụ”, nó cho biết.
Microsoft còn mô tả thêm “công ty mới nổi âm u” là tập trung vào sự gián đoạn và công khai. Một nhóm hacktivist được gọi là Anonymous Sudan đã nhận trách nhiệm về các cuộc tấn công. Tuy nhiên, điều đáng chú ý là công ty đã không liên kết rõ ràng Storm-1359 với Anonymous Sudan.
Ẩn danh Sudan là ai?
Anonymous Sudan đã và đang tạo ra làn sóng trong bối cảnh mối đe dọa với một loạt các cuộc tấn công DDoS chống lại các tổ chức Thụy Điển, Hà Lan, Úc và Đức kể từ đầu năm.
Một phân tích từ Trustwave SpiderLabs vào cuối tháng 3 năm 2023 chỉ ra rằng kẻ thù có khả năng là một nhánh của nhóm tác nhân đe dọa Thân Nga KillNet lần đầu tiên nổi tiếng trong cuộc xung đột Nga-Ukraine vào năm ngoái.
Trustwave cho biết: “Nó đã công khai liên kết với nhóm KillNet của Nga, nhưng vì những lý do mà chỉ những người điều hành nó mới biết, thích sử dụng câu chuyện bảo vệ đạo Hồi làm lý do đằng sau các cuộc tấn công của nó”.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
KillNet cũng đã thu hút sự chú ý vì các cuộc tấn công DDoS nhằm vào các thực thể chăm sóc sức khỏe được lưu trữ trong Microsoft Azure, đã tăng từ 10-20 cuộc tấn công vào tháng 11 năm 2022 lên 40-60 cuộc tấn công hàng ngày vào tháng 2 năm 2023.
Tập thể trực thuộc Điện Kremlin, lần đầu tiên xuất hiện vào tháng 10 năm 2021, đã tiếp tục thành lập một “công ty hack quân sự tư nhân” có tên là Black Skills nhằm cố gắng tạo cho các hoạt động đánh thuê trên mạng của mình một hình ảnh công ty.
Các mối liên hệ với Nga của Anonymous Sudan cũng trở nên rõ ràng sau sự hợp tác của nó với KillNet và REvil để thành lập một “nghị viện DARKNET” và dàn dựng các cuộc tấn công mạng vào các tổ chức tài chính châu Âu và Hoa Kỳ. “Nhiệm vụ số một là làm tê liệt công việc của SWIFT”, một thông báo được đăng vào ngày 14 tháng 6 năm 2023 cho biết.
“KillNet, bất chấp chương trình nghị sự mang tính dân tộc chủ nghĩa, chủ yếu được thúc đẩy bởi động cơ tài chính, sử dụng sự hỗ trợ nhiệt tình của hệ sinh thái truyền thông thân Kremlin của Nga để quảng bá các dịch vụ cho thuê DDoS của mình”, Flashpoint cho biết trong một hồ sơ về đối thủ vào tuần trước.
“KillNet cũng đã hợp tác với một số nhà cung cấp botnet cũng như Câu lạc bộ Deanon – một nhóm đe dọa đối tác mà KillNet đã tạo ra Infinity Forum – để nhắm mục tiêu vào các thị trường darknet tập trung vào ma túy.”
