Кибератака на Microsoft, что известно
В первую неделю июня в Microsoft произошел серьезный сбой, затронувший почти все ее службы, включая Azure, Outlook и Teams. Теперь компания сообщила, что за глобальным сбоем стояла кибератака.
В сообщении блога, Microsoft раскрыла подробности об атаке в начале июня, которая вызвала сбои в работе ее сервисов, и компании потребовалось почти 15 часов, чтобы смягчить последствия. По словам гиганта из Редмонда, компания обнаружила всплеск трафика на некоторые из своих сервисов и начала расследование атаки DDoS (Distributed Denial-of-Service).
Microsoft также отметила, что злоумышленники использовали несколько виртуальных частных серверов (VPS), прокси-серверы, арендованную облачную инфраструктуру, а также инструменты DDoS для выполнения атаки. Хотя атака была изощренной, Microsoft подтвердила, что данные клиентов не были взломаны.
Эта недавняя DDoS-атака была нацелена на уровень 7, а не на уровень 3 или 4. Microsoft усилила защиту уровня 7, включая настройку брандмауэра веб-приложений Azure (WAF), чтобы лучше защитить клиентов от воздействия аналогичных DDoS атак.
Microsoft также поделилась техническими подробностями атаки. По данным компании, злоумышленник Storm-1359 использовал набор ботнетов и инструментов для запуска атаки на серверы компании. К ним относятся флуд-атака HTTP(S) для перегрузки системы и исчерпания ресурсов за счет высокой нагрузки рукопожатий SSL/TLS и запросов HTTP(S). В случае с Microsoft злоумышленник отправил миллионы HTTP(S)-запросов с IP-адресов по всему миру, чтобы перегрузить систему.
Мало того, злоумышленник также использовал обход кэша, чтобы пропустить уровень CDN и перегрузить исходную систему серией запросов. Наконец, злоумышленник использовал Slowloris, в котором клиент запрашивает ресурс у сервера, но не может подтвердить получение ресурса, заставляя сервер держать соединение открытым и ресурс в своей памяти.
Microsoft оценила, что Storm-1359 имеет доступ к набору ботнетов и инструментов, которые могут позволить злоумышленнику запускать DDoS-атаки из нескольких облачных сервисов и открытых прокси-инфраструктур. Storm-1359, по-видимому, нацелен на разрушение и рекламу.
Microsoft завершила сообщение серией советов и рекомендаций для клиентов Azure, чтобы защитить их от DDoS-атак уровня 7 в будущем. Однако компания не раскрыла подробностей, касающихся ущерба или каких-либо финансовых последствий, которые ей пришлось понести в результате атаки.