Microsoft a confirmé que les pannes de ses services Azure et Outlook ont été causées par des attaques DDoS, que la société impute à l’acteur menaçant qu’elle suit sous le nom de Storm-1359.
Cela fait suite à la nouvelle nomenclature des menaces du géant de la technologie, dans laquelle Storm désigne un groupe en développement.
Autrement connu sous le nom de Soudan anonyme, il s’agirait d’un gang soudanais politiquement motivé de « hacktivistes » autoproclamés, qui ont déjà eu des démêlés avec la France, le Danemark et la Suède jusqu’à présent cette année.
Un acteur de la menace soudanaise derrière les attaques Microsoft DDoS
Microsoft affirme que Storm-1359 a lancé plusieurs types d’attaques DDoS de couche 7, y compris une attaque par inondation HTTP(S) qui voit une charge élevée de poignées de main SSL/TLS et de requêtes HTTP(S) entraîner l’épuisement du processeur et de la mémoire du backend. Dans ce cas, on pense que des millions de demandes ont été faites simultanément.
Le groupe a également utilisé des tactiques de contournement du cache qui obligent la couche frontale à diriger les demandes vers l’origine plutôt que de récupérer le contenu mis en cache, et slowloris, qui oblige un serveur Web à maintenir la connexion ouverte en ne reconnaissant pas un téléchargement.
« Ces attaques reposent probablement sur l’accès à plusieurs serveurs privés virtuels (VPS) en conjonction avec une infrastructure cloud louée, des proxys ouverts et des outils DDoS », a déclaré Microsoft dans le annonce.
En fin de compte, alors que les services ont été interrompus au cours d’une série de jours au début du mois de juin, Microsoft affirme qu’il n’a « vu aucune preuve que les données des clients ont été consultées ou compromises ».
La société a également fourni une poignée de mesures que les clients peuvent prendre pour réduire leur impact sur les attaques DDoS de couche 7 à l’avenir, qui sont décrites sur son site Internet.