Na początku czerwca użytkownicy pakietu biurowego Microsoft, w tym e-maila Outlook i usługi udostępniania plików OneDrive, doświadczyli poważnych przerw w funkcjonowaniu. Potwierdzono, że były one wynikiem skoordynowanych ataków DDoS, przeprowadzonych przez tajemniczą grupę haktywistów – Anonymous Sudan.
Microsoft początkowo był niechętny do udzielania informacji na temat przyczyny przerw, ale później potwierdził, że zakłócenia wynikały z ataków DDoS. Nie podał jednak szczegółów dotyczących skali problemu ani nie komentował, ilu klientów zostało dotkniętych i czy zakłócenia miały charakter globalny.
Ataki DDoS (Distributed Denial of Service), polegają na przeciążeniu serwerów niepotrzebnym ruchem sieciowym, uniemożliwiając prawidłowe funkcjonowanie usług. W tym przypadku, ataki “tymczasowo wpłynęły na dostępność” niektórych usług Microsoftu, jak wynika z komunikatu firmy. Przestępcy najprawdopodobniej wykorzystali wynajętą infrastrukturę chmurową i wirtualne sieci prywatne do prowadzenia ataku z tak zwanych botnetów – sieci komputerów rozproszonych na całym świecie.
Kto stoi za atakami?
Rzeczniczka Microsoftu potwierdziła, że ataki zostały przeprowadzone przez grupę o nazwie Anonymous Sudan, która przyznała się do nich na swoim kanale społecznościowym na platformie Telegram. Niektórzy badacze bezpieczeństwa podejrzewają, że grupa może mieć rosyjskie korzenie, pomimo sugerowanego w nazwie pochodzenia sudańskiego.
Prorosyjskie grupy hakerskie, takie jak Killnet, której firma zajmująca się cyberbezpieczeństwem Mandiant przypisuje powiązania z Kremlem, są znane z przeprowadzania podobnych ataków DDoS na strony rządowe i inne witryny związane z sojusznikami Ukrainy. Analityk Alexander Leslie z firmy zajmującej się bezpieczeństwem cybernetycznym Recorded Future sugeruje, że jest mało prawdopodobne, aby Anonymous Sudan znajdowało się w Sudanie. Według niego grupa ta blisko współpracuje z Killnetem oraz innymi grupami prokremlowskimi, szerząc prorosyjską propagandę i dezinformację.
Jakie są konsekwencje?
Ataki DDoS mogą być niezwykle uciążliwe, gdyż czynią strony internetowe niedostępne, choć nie zawsze oznaczają przeniknięcie do systemów. W przypadku Microsoftu, firma zapewnia, że nie ma dowodów na to, że atakujący uzyskali dostęp do jakichkolwiek danych klientów.
Największy wpływ ataków był odczuwalny 5 czerwca, kiedy Downdetector zanotował szczytowy poziom 18 000 zgłoszeń awarii i problemów. Problemy dotyczyły programów Outlook, Microsoft Teams, SharePoint Online i OneDrive dla Firm. Zakłócenia trwały przez cały tydzień, a 9 czerwca firma Microsoft potwierdziła, że dotyczą również platformy przetwarzania w chmurze Azure.
Wszystko wskazuje na to, że skala ataku była znaczna, choć bez szczegółowych danych ze strony Microsoftu nie jest możliwe dokładne określenie jej rozmiarów.
Jak radzić sobie z atakami DDoS?
Trudności Microsoftu w odparciu tego konkretnego ataku sugerują istnienie “pojedynczego punktu awarii”. Bez względu na konkretną strategię, incydent ten stanowi przypomnienie o ciągłym ryzyku związanym z atakami DDoS. Pomimo, że są to techniki stosowane przez hakerów od lat, nadal stanowią znaczące wyzwanie dla bezpieczeństwa firm i instytucji na całym świecie.
Ostatecznie, ataki te podkreślają znaczenie inwestowania w cyberbezpieczeństwo i przygotowywania się na potencjalne zagrożenia. Przyszłość może przynieść nowe formy ataków, a firmy muszą być przygotowane na to, aby chronić swoje usługi i dane swoich klientów.