Microsoft potwierdza, że czerwcowe awarie Outlooka były wynikiem ataku DDoS
Na początku czerwca użytkownicy Outlooka zaczęli masowo narzekać na niedostępność usługi w godzinach szczytu. Według artykułu w The Associated Press, było to wynikiem ataku DDoS. Niedawno Microsoft potwierdził atak w swoim poście na blogu, gdzie podał również kilka szczegółów i zaleceń dotyczących ochrony.
Co wiadomo
We wpisie na blogu nie podano, czy firmie udało się opanować sytuację, czy też atak ustał samoistnie. Jednak oficjalne konto Microsoft 365 Status na Twitterze poinformowało o awarii, która wystąpiła 5 czerwca, a następnie powtórzyła się później tego samego dnia. Wygląda na to, że sytuacja została ostatecznie rozwiązana następnego ranka.
Artykuł AP wspomina, że rzecznik (najwyraźniej z Microsoftu) potwierdził, że atak został przeprowadzony przez grupę Anonymous Sudan, która jest aktywna co najmniej od stycznia. Według artykułu, grupa twierdziła, że ich atak trwał około półtorej godziny, zanim został zatrzymany.
Nadal obserwujemy stabilną kondycję usługi, odkąd zastosowaliśmy różne zapobiegawcze środki zaradcze i będziemy uważnie monitorować usługę w przypadku jej ponownego wystąpienia.
- Microsoft 365 Status (@MSFT365Status) 7 czerwca 2023 r.
Według byłego hakera Agencji Bezpieczeństwa Narodowego Jake'a Williamsa, cytowanego przez AP: "nie ma sposobu, aby ocenić wpływ, dopóki Microsoft nie dostarczy tych informacji". Nie był on świadomy, że Outlook był wcześniej narażony na taki wpływ.
W 2021 r. Microsoft zdołał złagodzić jeden z największych ataków DDoS, jakie kiedykolwiek zarejestrowano. Atak ten trwał ponad 10 minut i osiągnął maksymalne natężenie ruchu wynoszące 2,4 terabita na sekundę (Tbps). W 2022 r. prędkość ataku wzrosła do 3,47 Tbps. Nie wiadomo, jak znaczące były skoki ruchu podczas ataku w czerwcu.
Według Microsoftu DDoS był wymierzony w siódmą warstwę OSI, która jest warstwą sieciową, w której aplikacje uzyskują dostęp do usług sieciowych. To tutaj aplikacje, takie jak poczta e-mail, pobierają swoje dane. Microsoft uważa, że atakujący, których nazywa Storm-1359, wykorzystali botnety i narzędzia do przeprowadzenia ataku z "wielu usług w chmurze i otwartych infrastruktur proxy", a ich głównym celem było zakłócenie i rozgłos.
Źródło: The Verge