La semaine dernière nous nous étonnions du silence de Microsoft face à une vague de dysfonctionnements sur ses services cloud et les allégations d’attaques DDoS d’un groupe hacktiviste. Ce week-end, Microsoft a apporté les éclairages attendus confirmant la vague d’attaques.
Depuis près de deux semaines, l’éditeur américain est victime d’une série de dysfonctionnements multiples sur ses services Microsoft 365 et Azure. Des incidents qui ressemblaient à des dénis de service d’autant que dans le même temps, un groupe pseudo hacktiviste dénommé « Anonymous Sudan » se faisait sa publicité en ligne en raillant l’éditeur et en revendiquant être à l’origine des attaques DDoS perturbant le fonctionnement des services.
Alors que nous faisions un point de ces incidents la semaine dernière, nous évoquions également l’étrange silence de Microsoft apparemment impassible face aux allégations des cyber-attaquants.
Mais l’éditeur a finalement répondu ce week-end dans un billet de blog où il confirme avoir bien subi une série d’attaques DDoS massives. « Au début du mois de juin 2023, nous avons identifié des hausses de trafic contre certains services qui ont temporairement affecté leur disponibilité. Nous avons rapidement ouvert une enquête puis commencé à suivre l’activité DDoS en cours par un acteur de la menace que Microsoft identifie sous le nom de Storm-1359 » expliquent les experts du MSRC. « Ces attaques s’appuient probablement sur l’accès à de multiples serveurs privés virtuels (VPS) en conjonction avec une infrastructure cloud louée, des proxies ouverts et des outils DDoS » ajoutent-ils pour justifier le côté massif des attaques subies alors que l’éditeur dispose en général pour ses principaux services d’une bande passante considérable
Le rapport du MSRC entre ensuite un peu dans le détail des attaques. Celles-ci ont exclusivement ciblé la couche 7 du modèle ISO au lieu des couches 3 et 4 plus généralement utilisées pour mener de telles attaques DDoS. Les hackers ont ainsi privilégié des attaques de type HTTPS flood (qui consiste à submerger le serveur de requêtes HTTPS), Cache Bypass (contournement du cache du CDN), Slowloris (attaque qui consiste à demander une ressource sans jamais accuser réception). L’éditeur a répondu en réajustant les load-balancers et en renforçant les protections sur la couche 7 notamment en ajustant le pare-feu applicatif Azure WAF.
On notera que Microsoft se contente de désigner un groupe d’attaquants nommé « Storm-1359 », un identifiant interne, sans confirmer qu’il s’agit bien du groupe « Anonymous Sudan » ayant revendiqué les attaques. Selon de nombreux experts de la cybersécurité, ce groupe n’aurait d’ailleurs rien à voir ni avec Anonymous ni avec le Soudan mais serait plutôt affilié à des groupes d’attaquants russes.
Par ailleurs, Microsoft précise que « nous n’avons vu aucune preuve que des données de clients aient été consultées ou compromises », bien que le groupe ait officiellement demandé une rançon via la messagerie Telegram. Comme le précise les chercheurs du MSRC, et jusqu’à preuve du contraire, les actions du groupe d’attaquants semblent bien plus focalisées sur les perturbations de service et leur propre publicité que sur l’appât financier.
puis