Microsoft は、Azure、Outlook、および OneDrive Web ポータルへの最近の機能停止が、同社のサービスに対するレイヤー 7 DDoS 攻撃によるものであることを確認しました。
この攻撃は、Microsoft によって Storm-1359 として追跡されている、 Anonymous Sudanと名乗る攻撃者によるものであると考えられています。
障害は 6 月初めに発生し、 Outlook.com の Web ポータルが 6 月 7 日に、 OneDrive が 6 月 8 日に、 Microsoft Azure ポータルが6 月 9 日に狙われました。
Microsoftは当時、DDoS攻撃を受けていることについては明らかにしなかったが、一部のインシデントについては「問題を緩和するために負荷分散プロセスを適用している」と述べ、DDoS攻撃が原因であることをほのめかした。
先週リリースされた暫定的な根本原因レポートの中で、Microsoft はさらに DDoS 攻撃を示唆し、ネットワーク トラフィックの急増が Azure の停止を引き起こしたと述べました。
「これらのサイトへのトラフィックを管理する能力に影響を及ぼし、顧客がこれらのサイトにアクセスする際に問題が発生したネットワーク トラフィックの急増を特定しました」と Microsoft は説明しました。
金曜日に公開された Microsoft Security Response Center の投稿で、Microsoft は現在、これらの機能停止が Storm-1359 として追跡している脅威アクターによる自社サービスに対するレイヤー 7 DDoS 攻撃によって引き起こされたことを認めています。
「2023 年 6 月初旬から、Microsoft は可用性に一時的に影響を及ぼした一部のサービスに対するトラフィックの急増を特定しました。Microsoft は直ちに調査を開始し、その後、Microsoft が Storm-1359 として追跡している脅威アクターによる進行中の DDoS 活動の追跡を開始しました。」とMicrosoft は認めました。
「これらの攻撃は、レンタルしたクラウド インフラストラクチャ、オープン プロキシ、DDoS ツールと組み合わせた複数の仮想プライベート サーバー (VPS) へのアクセスに依存している可能性があります。」
「顧客データがアクセスされたり侵害されたりしたという証拠は見つかっていません。」
レイヤ 7 DDoS 攻撃は、脅威アクターが大量のリクエストでサービスを圧倒することでアプリケーション レベルをターゲットにし、すべてのリクエストを処理できずにサービスをハングさせます。
Microsoft によれば、Anonymous Sudan は HTTP (S) フラッド攻撃、キャッシュ バイパス、Slowloris の 3 種類のレイヤー 7 DDoS 攻撃を使用しているとのことです。
各 DDoS メソッドは Web サービスに負荷をかけ、利用可能な接続をすべて使い果たすため、新しいリクエストを受け入れることができなくなります。
アノニマス・スーダンって誰?
Microsoft は攻撃者を Storm-1359 として追跡していますが、一般的には Anonymous Sudan として知られています。
アノニマス・スーダンは2023年1月に発足し、スーダンに敵対するあらゆる国に対して攻撃を行うと警告した。
それ以来、このグループは世界中の組織や政府機関を標的にし、DDoS 攻撃でダウンさせたり、盗んだデータを漏洩させたりしてきました。
同グループは5月から大規模組織を標的にし、攻撃を阻止するための支払いを要求している。この攻撃は最初にスカンジナビア航空 (SAS) を標的とし、攻撃者は DDoS 攻撃を阻止するために 3,500 ドルを要求しました。
その後、このグループは、Tinder、Lyft、米国中のさまざまな病院などの米国企業の Web サイトを標的にしました。
6 月、アノニマス スーダンは Microsoft に注目し、Outlook、Azure、OneDrive の Web アクセス可能なポータルに対して DDoS 攻撃を開始し、攻撃を阻止するために 100 万ドルを要求しました。
「何時間も続いた攻撃を撃退できなかったのなら、私たちに100万ドル払って、私たちがあなたのサイバーセキュリティの専門家に攻撃を撃退する方法を教えて、私たちが攻撃を止めるのはどうですか? 100万ドルなんてピーナツですよ」あなたのような会社を」とグループに要求した。

アウトルックに対するDDoS攻撃の際、同グループはスーダン政治への米国の関与への抗議として行われたと主張した。
アノニマス・スーダンは、「アメリカによるスーダン侵略の可能性があるという米国国務長官の声明を理由に、これは米国/米国の企業やインフラに対する継続的なキャンペーンである」と述べた。
しかし、一部のサイバーセキュリティ研究者は、これは偽旗であり、このグループはロシアと関連している可能性があると考えています。
この関連性は今週さらに明らかになった可能性があり、同グループはKILLNETや「REvil」など他の親ロシア派グループからなる「DARKNET議会」の設立を主張している。
「72時間前、ロシアとスーダンのハッカーグループのトップ3人がダークネット議会で定例会議を開き、共通の決定に至った」と同グループは欧州の銀行インフラに対する差し迫った攻撃について警告した。
「我々は本日、欧州の銀行振込システムであるSEPA、IBAN、WIRE、SWIFT、WISEに対して制裁を開始する。」
欧州の銀行システムへの攻撃が始まった兆候はないが、同グループは自由に使える多大なリソースを持っていることを示しており、金融機関は潜在的な混乱に警戒する必要がある。
Comments