Tomasz Truchel | fototyczny | Obrazy Getty’ego
Na początku czerwca sporadyczne i poważne przerwy w świadczeniu usług dotknęły pakiet biurowy firmy Microsoft – w tym pocztę e-mail Outlook i aplikacje do udostępniania plików OneDrive – oraz platformę przetwarzania w chmurze. Ciemna grupa hakerska przyznała się do odpowiedzialności, twierdząc, że zalała witryny niepożądanym ruchem w rozproszonych atakach typu „odmowa usługi”.
Początkowo Microsoft był powściągliwy w identyfikowaniu przyczyny, a teraz ujawnił, że rzeczywiście przyczyną były ataki DDoS przeprowadzone przez tajemniczego nowicjusza.
Ale gigant oprogramowania podał niewiele szczegółów – i nie skomentował skali ataków. Nie powiedział, ilu klientów zostało dotkniętych, ani nie opisał atakujących, których nazwał Storm-1359. Grupa nazywająca się Anonymous Sudan przyznała się wówczas do odpowiedzialności na swoim kanale Telegram w mediach społecznościowych. Niektórzy badacze bezpieczeństwa uważają, że grupa jest rosyjska.
Wyjaśnienie Microsoftu pojawiło się w poście na blogu w piątek wieczorem, po otrzymaniu prośby od Associated Press dwa dni wcześniej. Omawiając szczegóły, w publikacji stwierdzono, że ataki „tymczasowo wpłynęły na dostępność” niektórych usług. Stwierdzono, że napastnicy skupili się na „zakłóceniach i propagandzie” i prawdopodobnie wykorzystali wynajętą infrastrukturę chmurową i wirtualne sieci prywatne do bombardowania serwerów Microsoftu z tak zwanych botnetów z całego świata.
Microsoft powiedział, że nie ma dowodów na to, że jakiekolwiek dane klientów zostały udostępnione lub naruszone.
Podczas gdy ataki DDoS są zasadniczo uciążliwe – uniemożliwiają dostęp do stron internetowych bez włamań – eksperci ds.
Nie jest jasne, czy tak właśnie się stało.
„Naprawdę nie mamy możliwości zmierzenia wpływu, jeśli Microsoft nie dostarczy tych informacji” — powiedział Jake Williams, starszy badacz cyberbezpieczeństwa i były haker ofensywny w Agencji Bezpieczeństwa Narodowego. Williams powiedział, że nie wiedział, że program Outlook był wcześniej atakowany na taką skalę.
„Wiemy, że niektóre zasoby były niedostępne dla niektórych, ale nie dla innych. Często zdarza się to w przypadku ataków DDoS w globalnie rozproszonych systemach” — dodał Williams. Powiedział, że pozorna niechęć Microsoftu do dostarczenia obiektywnej miary wpływu na klientów „może mówić o wolumenie”.
Jeśli chodzi o tożsamość Storm-1359, Williams powiedział, że nie sądzi, by Microsoft jeszcze wiedział. To nie byłoby niezwykłe. Szpiegostwo cybernetyczne zwykle zajmuje trochę czasu — a nawet wtedy może stanowić wyzwanie, jeśli przeciwnik jest wykwalifikowany.
Prorosyjskie grupy hakerskie, w tym Killnet – firma Mandiant zajmująca się cyberbezpieczeństwem, która według firmy Mandiant jest powiązana z Kremlem – zbombardowały rząd i inne strony internetowe sojuszników Ukrainy atakami DDoS. W październiku zbombardowano niektóre miejsca na lotniskach amerykańskich.
Incydent Microsoftu pokazuje, że ataki DDoS pozostają „ogromnym ryzykiem, o którym wszyscy zgodzimy się unikać rozmów. Nazywanie tego nierozwiązanym problemem nie jest kontrowersyjne” – powiedział Edward Amoruso, profesor na Uniwersytecie Nowojorskim i dyrektor generalny TAG Cyber.
Powiedział, że trudności Microsoftu w przeciwdziałaniu temu konkretnemu atakowi wskazują na „pojedynczy punkt awarii”. Najlepszą obroną przed tymi atakami jest szeroka dystrybucja usługi, na przykład w sieci dystrybucji treści.
Brytyjski badacz bezpieczeństwa Kevin Beaumont powiedział, że metody stosowane przez atakujących nie są przestarzałe. „Jedno z nich pochodzi z 2009 roku” – powiedział.
Poważne skutki awarii pakietu Microsoft 365 Office zostały zgłoszone w poniedziałek, 5 czerwca, osiągając szczyt 18 000 awarii i problemów zgłoszonych w Downdetector krótko po godzinie 11:00 czasu wschodniego.
Tego dnia Microsoft poinformował na Twitterze, że problem dotyczy programów Outlook, Microsoft Teams, SharePoint Online i OneDrive dla Firm.
Ataki trwały przez cały tydzień, a Microsoft potwierdził 9 czerwca, że dotyczy to platformy przetwarzania w chmurze Azure.
8 czerwca serwis informacyjny poświęcony bezpieczeństwu komputerów BleepingComputer.com poinformował, że hosting plików w usłudze OneDrive w chmurze od pewnego czasu nie działa na całym świecie.
Microsoft powiedział wówczas, że klienci komputerów stacjonarnych OneDrive nie zostali dotknięci, poinformował BleepingComputer.
