Una serie de interrupciones en los servicios experimentadas por los usuarios de Microsoft Azure, OneDrive y Outlook fueron el resultado de un importante ataque de denegación de servicio distribuido (DDoS) realizado por un actor de amenazas rastreado por Redmond como Storm-1359 (también conocido como Anonymous Sudan), un Rusia- grupo alineado o respaldado con presuntos vínculos con el colectivo Killnet.
Los aumentos repentinos en el tráfico se identificaron a principios de junio de 2023, pero no se cree que el ciberataque haya resultado en ningún acceso no autorizado o compromiso de los datos del usuario.
Microsoft dijo que los ataques de Storm-1359 se dirigieron a la capa 7 en lugar de las capas 3 o 4, y fueron compatibles con el acceso a múltiples servidores privados virtuales, infraestructura de nube alquilada, proxies abiertos y otras herramientas DDoS.
Bajo el marco de interconexión de sistemas abiertos (OSI), un ataque de capa 7 tiene como objetivo los procesos de la capa de aplicación para inmovilizar recursos y evitar que un servicio pueda entregar contenido a sus usuarios. Se diferencia de un ataque DDoS de capa 3, que se dirige a la capa de red que transfiere datos de una red a otra, y de un ataque de capa 4, que se dirige a la capa de transporte que transfiere datos de un dispositivo a otro.
La función de cada modelo OSI de capa puede variar, pero todos estos ataques tienen el mismo propósito y efecto final, que es interrumpir o colapsar el servicio abrumando sus recursos.
“Microsoft evaluó que Storm-1359 tiene acceso a una colección de botnets y herramientas que podrían permitir al actor de amenazas lanzar ataques DDoS desde múltiples servicios en la nube e infraestructuras de proxy abierto. Storm-1359 parece estar enfocado en la interrupción y la publicidad”, dijo el equipo de investigación de la unidad cibernética MSRC de Microsoft.
MSRC descubrió que Storm-1359 había lanzado varios tipos de ataques de Capa 7, incluidas las inundaciones HTTP(S), cuyo objetivo es agotar los recursos informáticos de la aplicación con una gran cantidad de protocolos de enlace de seguridad de capa de conexión segura (SSL) o de seguridad de capa de transporte (TLS) y HTTP( s) solicitudes; omisiones de caché, que intentan omitir la capa de red de entrega de contenido (CDN) para sobrecargar los servidores de origen; y Slowloris, donde el cliente se conecta a un servidor web, solicita un recurso, pero no reconoce la descarga o la acepta muy lentamente, lo que obliga al servidor de la víctima a permanecer conectado y consumir recursos de memoria mientras intenta completar la tarea solicitada.
En respuesta, dijo el MSRC, Microsoft ha fortalecido las protecciones de Capa 7, incluida la realización de una serie de ajustes bajo el capó de Azure Web Application Firewall (WAF) para proteger mejor a los usuarios.
Sin embargo, aunque estas herramientas y técnicas de refuerzo se consideran súper efectivas, MSRC de Microsoft dijo que los clientes deben revisar los detalles técnicos y las acciones recomendadas, como se establece aquí, para aumentar sus propios niveles de resiliencia.
Entre otras cosas, es posible que los equipos de seguridad deseen habilitar los servicios de protección de capa 7, como Azure WAF, y considerar la creación de reglas WAF personalizadas para bloquear y clasificar los ataques HTTP(S) con firmas conocidas, configurar la protección contra bots, escanear y bloquear direcciones IP sospechosas o maliciosas. y rangos, y bloquear el tráfico de la región de origen (muy probablemente Rusia) o desde fuera de una región definida.
A pesar del uso que hace el grupo de la marca hacktivista Anonymous, los investigadores de amenazas del especialista en seguridad CyberCX con sede en ANZ dijeron que es muy poco probable que el grupo Storm-1359/Anonymous Sudan, que se comunicó por primera vez a través de Telegram en enero, tenga algún vínculo con Anonymous o , para el caso, cualquier conexión con Sudán.
Además, su comercio y objetivos no se alinean con el modelo hacktivista, dijeron, pero parecen reflejar los objetivos cibernéticos del estado ruso.
Los analistas dijeron que, según la actividad observada de Anonymous Sudan, había una alta probabilidad de que el grupo estuviera respaldado por Rusia y advirtieron que había una buena posibilidad de que su actividad aumentara en ritmo en los próximos meses. Agregaron que su aparente acceso a recursos significativos y dudosas asociaciones ideológicas lo convertían en una “amenaza atípica”.
Mientras tanto, a fines de la semana pasada, el grupo Killnet más amplio apareció en los titulares luego de una cumbre del “parlamento Darknet” a la que supuestamente asistieron sus operativos, así como representantes de Anonymous Sudan y miembros de la operación de ransomware REvil, que una vez aterrorizó a las organizaciones occidentales pero se ha desvanecido del popular conciencia cibernética de los últimos tiempos.
A raíz de esta cumbre, el grupo dijo que “impondría sanciones” en el sistema bancario europeo, apuntando específicamente a sistemas como Swift y amenazando con ataques DDoS destructivos dentro de las 48 horas.
En el momento de redactar este informe, no se han observado ciberataques significativos contra el sistema financiero europeo.