Microsoft ha confirmado que el fallo en Azure y Outlook en junio fue causado por un ataque DDoS. El incidente fue provocado por un aumento en el tráfico de Anonymous Sudan, un grupo de piratas informáticos.
La empresa afirmó que, a pesar del impacto significativo en los servidores, no se comprometieron los datos de los clientes durante el ataque. Microsoft ha indicado que el ataque DDoS se enfocó en la capa 7 en lugar de las capas 3 o 4. El objetivo principal era causar interrupciones y generar caos, no el robo de información.
Microsoft ha revelado que los atacantes emplearon diversas técnicas en el ataque DDoS, incluyendo el ataque de inundación HTTP(S). Este método busca agotar los recursos del sistema mediante una sobrecarga de SSL/TLS y solicitudes HTTP(S).
Microsoft reveló que no se comprometieron los datos de los clientes durante el ataque.
Además, se identificaron otras dos estrategias utilizadas en el ataque. Una de ellas es el bypass de caché, que busca evadir la capa CDN y puede generar una sobrecarga en los servidores originales. La otra es el ataque slowloris, que mantiene conexiones abiertas y sobrecarga los recursos solicitados en el servidor memory.web.
Como respuesta al ataque, Microsoft ha implementado ajustes para fortalecer la seguridad de sus clientes ante futuros ataques. Esto implica el uso de servicios de protección en la capa 7, como Azure WAF, la activación de la protección contra bots, el bloqueo de direcciones IP y regiones geográficas maliciosas, y la creación de reglas personalizadas para WAF.
Tras analizar las actividades de Anonymous Sudan, la empresa de ciberseguridad CyberCX sugirió que el grupo podría tener vínculos con operaciones del gobierno ruso. Según CyberCX, la inversión en equipos costosos para llevar a cabo el ataque indica una posible financiación gubernamental.
Fuente: Microsoft