همونطور که قبلا در این پست اشاره کرده بودیم، برخی سرویس های مایکروسافت از جمله Outlook.com و OneDrive ، اوایل ژوئن با اختلال های گسترده ای مواجه بودن که در اون زمان مایکروسافت این اختلالات رو نقص فنی گزارش کرده بود، اما گروه هکری Anonymous Sudan در کانال تلگرامی خودشون، مسئولیت این حمله رو برعهده گرفت و اعلام کرد که حملات DDOS روی این سرویس ها انجام داده .
حالا بعد از گذشته چند روز، مایکروسافت حمله سایبری DDOS از نوع لایه 7 رو تایید کرده و اونو به گروه Storm-1359 نسبت داده که معروف به Anonymous Sudan هستن.
حملات در 7 ژوئن روی پورتال Outlook.com ، هشت ژوئن روی OneDrive و 9 ژوئن روی Microsoft Azure Portal تاثیر گذاشته بود.
مایکروسافت گفته این حملات متکی به چندین سرور مجازی اجاره ای در زیرساخت های ابری ، ابزارهای DDOS و Open proxy ها (نوعی پروکسی که برای هر کاربری در اینترنت قابل دسترس هستش) بودش.
در این حمله مایکروسافت تایید کرده که هکرها دسترسی به داده های کاربران نداشتن و داده ای از اونها هم نقض نشده.
حملات DDOS اخیر به جای لایه 3 و 4 ، لایه 7 رو هدف قرار داده بود و مایکروسافت اعلام کرده که فایروال Azure Web Application Firewall (WAF) رو در برابر این حملات امن تر کرده.
مایکروسافت گفته که گروه Storm-1359 به مجموعه ای از بات نت ها و ابزارهایی دسترسی داره که بازیگر تهدید رو قادر میکنه تا حملات DDOS رو از چندین سرور ابری و زیر ساخت های open proxy انجام بده.
این گروه در این حملات ، از سه نوع حمله DDOS لایه 7 استفاده کردن :
- HTTP(S) flood attack : این حمله با ارسال حجم بالایی از SSL/TLS handshake و درخواستهای HTTP(S) منجر به از بین بردن منابع سیستم میشه. در این مورد مهاجم با ارسال میلیونها درخواست HTTP(S) که در سراسر جهان توزیع شدن، باعث میشه منابع محاسباتی مانند CPU و حافظه مصرف بشه.
- Cache bypass : این حمله با دور زدن CDN باعث لوود بیش از حد سرور اصلی سایت میشه. مهاجم با ارسال کوئری های زیاد ، باعث میشه تا همه درخواست ها به جای اینکه از کش خونده بشه از سرور مبدا درخواست بشه.
- Slowloris : در این حمله مهاجم یه منبعی رو از سرور درخواست میکنه، مثلا عکس، اما اونو دانلود نمیکنه یا در تایید دانلود اون فاصله زمانی میندازه، در نتیجه وب سرور مجبوره که اتصال رو باز نگه داره و منبع درخواستی رو در حافظه نگه داره.
مایکروسافت توصیه کرده برای اقدامات کاهشی در برابر حملات DDOS لایه 7 از سرویس های حفاظتی لایه 7 مانند Azure WAF ، برای حفاظت از برنامه های وب استفاده کنید.
اگه از Azure WAF استفاده میکنید:
- از رولهای حفاظت بات استفاده کنید
- آدرس ها و رنج IP هایی که بعنوان مخرب شناسایی شدن رو مسدود کنید
- ترافیک خارج از یه محدوده جغرافیایی یا یه منطقه جغرافیایی رو مسدود کنید.
- رولهای خاصی رو براساس امضاهای شناخته شده برای مسدود یا محدود کردن ترافیک HTTP یا HTTPS تعریف کنید.
گروه هکری Anonymous Sudan با مشارکت دو گروه هکری معروف KILLNET و REvil اخیرا در یه ویدیویی اعلام کرده بودن که حمله قریب الوقوعی رو به سیستم تراکنش های بانکی اروپا SEPA و IBAN و WIRE و SWIFT و WISE انجام میدن.
تا زمان نگارش این پست نشانه هایی از این حمله وجود نداشته، با توجه به اینکه این گروهها منابع چنین حمله ای رو دارن، موسسات مالی باید در حال آماده باش ،باشن.
منابع: