Microsoft подтвердила, что недавние сбои в работе ее популярных сервисов, включая Outlook, Teams, OneDrive и платформу облачных вычислений Azure, были вызваны DDoS-атакой злоумышленника, который компания отслеживает как Storm-1359.
Также известный как Анонимный Судан, Storm-1359 был впервые обнаружен в январе и был нацелен на организации и правительственные учреждения с помощью DDoS-атак и попыток кражи данных. Первоначально предполагалось, что злоумышленник является группой «хактивистов», протестующих против спорного наряда на Неделе моды в Мельбурне, но с тех пор, согласно сообщениям нескольких СМИ, он был связан с российским государством.
«По оценкам Microsoft, Storm-1359 имеет доступ к набору ботнетов и инструментов, которые могут позволить злоумышленнику запускать DDoS-атаки из нескольких облачных сервисов и открытых прокси-инфраструктур», — говорится в сообщении компании в блоге. «Storm-1359, по-видимому, нацелен на разрушение и рекламу».
По словам Microsoft, недавние DDoS-активности Storm-1359 были нацелены на прикладной уровень (уровень 7) сетевого стека, а не на наиболее часто атакуемые уровни 3 или 4.
Различные типы DDoS-атак 7-го уровня
Было замечено, что Storm-1359 запускает несколько типов трафика DDoS-атак 7-го уровня, включая флуд-атаку HTTP(S), обход кэша и Slowloris.
Атака с переполнением HTTP(S) заполняет целевую систему большим количеством распределенных запросов HTTP(S) и рукопожатий SSL/TLS. Цель состоит в том, чтобы исчерпать ресурсы процессора и памяти серверной части приложения, в результате чего она становится перегруженной и не отвечает.
Атаки обхода кеша, с другой стороны, направлены на то, чтобы обойти уровень сети доставки контента (CDN) и перегрузить исходные серверы. Отправляя определенные запросы со сгенерированными URL-адресами, злоумышленник принудительно перенаправляет все запросы на исходные серверы вместо использования кэшированного содержимого.
При атаке Slowloris клиент запрашивает ресурс с веб-сервера, но намеренно задерживает или не подтверждает загрузку. Это заставляет веб-сервер держать соединение открытым и удерживать запрошенный ресурс в памяти.
Рекомендации Microsoft включают эффективные настройки WAF
Microsoft заявила, что наиболее эффективный способ уменьшить воздействие DDoS-атаки 7-го уровня — установить службу защиты брандмауэра веб-приложений (WAF) 7-го уровня.
Azure WAF, доступный с Azure Front Door и Azure Application Gateway, может использоваться для защиты веб-приложений с набором соответствующих настроек.
Рекомендуемые параметры включают настройку защиты от известных вредоносных ботов, идентификацию и блокировку вредоносных IP-адресов и HTTPS-атак с помощью настраиваемых правил WAF, а также ограничение трафика из определенного географического региона.
Авторское право © 2023 IDG Communications, Inc.
