Microsoft a confirmé que les récentes pannes des portails Web Azure, Outlook et OneDrive résultaient d’attaques DDoS de couche 7 contre les services de l’entreprise.
Les attaques sont attribuées à un acteur menaçant suivi par Microsoft sous le nom de Storm-1359, qui se fait appeler Anonymous Sudan.
Les pannes se sont produites début juin, avec le portail Web d’Outlook.com ciblé le 7 juin, OneDrive le 8 juin et le portail Microsoft Azure le 9 juin.
Microsoft n’a pas partagé à l’époque qu’ils subissaient des attaques DDoS, mais a laissé entendre qu’ils en étaient la cause, déclarant pour certains incidents qu’ils « appliquaient des processus d’équilibrage de charge afin d’atténuer le problème ».
Dans un rapport préliminaire sur les causes profondes publié la semaine dernière, Microsoft a en outre fait allusion aux attaques DDoS, déclarant qu’un pic de trafic réseau a provoqué la panne d’Azure.
« Nous avons identifié un pic de trafic réseau qui a eu un impact sur la capacité de gérer le trafic vers ces sites et a entraîné des problèmes pour les clients d’accéder à ces sites », a expliqué Microsoft.
Dans un article du Microsoft Security Response Center publié vendredi, Microsoft confirme maintenant que ces pannes ont été causées par une attaque DDoS de couche 7 contre leurs services par un acteur menaçant qu’ils suivent sous le nom de Storm-1359.
« À partir de début juin 2023, Microsoft a identifié des augmentations de trafic contre certains services qui ont temporairement affecté la disponibilité. Microsoft a rapidement ouvert une enquête et a ensuite commencé à suivre l’activité DDoS en cours par l’acteur menaçant que Microsoft suit sous le nom de Storm-1359 », a confirmé Microsoft.
« Ces attaques reposent probablement sur l’accès à plusieurs serveurs privés virtuels (VPS) en conjonction avec une infrastructure cloud louée, des proxys ouverts et des outils DDoS. »
« Nous n’avons vu aucune preuve que les données des clients ont été consultées ou compromises. »
Une attaque DDoS de couche 7 se produit lorsque les acteurs de la menace ciblent le niveau de l’application en submergeant les services avec un volume massif de demandes, provoquant le blocage des services car ils ne peuvent pas tous les traiter.
Selon Microsoft, Anonymous Sudan utilise trois types d’attaques DDoS de couche 7 : les attaques par inondation HTTP (S), le contournement du cache et Slowloris.
Chaque méthode DDoS submerge un service Web, utilisant toutes les connexions disponibles afin qu’il ne puisse plus accepter de nouvelles demandes.
Qui est le Soudan Anonyme ?
Alors que Microsoft suit les acteurs de la menace sous le nom de Storm-1359, ils sont plus communément connus sous le nom de Soudan anonyme.
Anonymous Sudan a été lancé en janvier 2023, avertissant qu’ils mèneraient des attaques contre tout pays qui s’oppose au Soudan.
Depuis lors, le groupe a ciblé des organisations et des agences gouvernementales du monde entier, les éliminant lors d’attaques DDoS ou en divulguant des données volées.
À partir de mai, le groupe a ciblé de grandes organisations, exigeant des paiements pour arrêter les attaques. Les attaques ont d’abord ciblé Scandinavian Airlines (SAS), les acteurs de la menace exigeant 3 500 $ pour arrêter les attaques DDoS.
Le groupe a ensuite ciblé les sites Web d’entreprises américaines, telles que Tinder, Lyft et divers hôpitaux à travers les États-Unis.
En juin, Anonymous Sudan s’est tourné vers Microsoft, où ils ont lancé des attaques DDoS sur des portails accessibles sur le Web pour Outlook, Azure et OneDrive, exigeant 1 million de dollars pour arrêter les attaques.
« Vous n’avez pas réussi à repousser l’attaque qui dure depuis des heures, alors que diriez-vous de nous payer 1 000 000 USD et nous enseignons à vos experts en cybersécurité comment repousser l’attaque et nous arrêtons l’attaque de notre côté ? 1 million USD, c’est des cacahuètes pour une entreprise comme vous », demande le groupe.
Lors des attaques DDoS contre Outlook, le groupe a déclaré qu’elles étaient menées pour protester contre l’implication des États-Unis dans la politique soudanaise.
« Il s’agit d’une campagne continue contre les entreprises et les infrastructures américaines/américaines en raison de la déclaration du secrétaire d’État américain disant qu’il existe une possibilité d’invasion américaine du Soudan », a déclaré Anonymous Sudan.
Cependant, certains chercheurs en cybersécurité pensent qu’il s’agit d’un faux drapeau et que le groupe pourrait plutôt être lié à la Russie.
Ce lien est peut-être devenu encore plus évident cette semaine, le groupe prétendant former un « parlement DARKNET » composé d’autres groupes pro-russes, tels que KILLNET et « REvil ».
« Il y a 72 heures, trois chefs de groupes de hackers de Russie et du Soudan ont tenu une réunion régulière au parlement du DARKNET et sont parvenus à une décision commune », a averti le groupe des attaques imminentes contre l’infrastructure bancaire européenne.
« Aujourd’hui, nous commençons à imposer des sanctions aux systèmes de transfert bancaire européens SEPA, IBAN, WIRE, SWIFT, WISE. »
Bien que rien n’indique que des attaques contre les systèmes bancaires européens aient commencé, le groupe a démontré qu’il disposait de ressources importantes et que les institutions financières devaient être vigilantes en cas de perturbation potentielle.