微软的 Outlook.com 在6月初发生故障,当时亲俄骇客组织Anonymous Sudan即对外宣称是它们针对微软服务发动分布式服务阻断(DDoS)攻击,而微软上周证实了此事,并将此一骇客组织命名为Storm-1359,同时强调相关攻击并未影响客户资料。
微软说明,自今年6月初开始,旗下某些服务的流量会突发性地增加,造成服务暂时中断,调查后发现是来自Storm-1359的DDoS攻击。 当时所影响的微软服务不仅是 Outlook.com,还包括Microsoft Teams、SharePoint Online与OneDrive for Business等。
调查显示,该波的DDoS活动锁定的是开放式通讯系统互连模型(Open Systems Interconnection,OSI)中的第七层(Layer 7),该层属于应用程序层,主要提供网络应用并直接与用户互动,于是微软调整了Azure的网络应用程序防火墙(Web Application Firewall ,WAF),强化该层级的保护, 以避免客户受到类似的DDoS的影响。
Storm-1359的攻击目的是为了破坏与宣传,利用许多僵尸网络及工具以通过各种云端服务及开放代理基础设施来发动DDoS攻击,包括HTTP(S)洪水攻击、快取绕过攻击,以及Slowloris攻击。
其中,HTTP(S)洪水攻击是藉由发送大量的HTTP(S)请求及SSL/TLS握手来耗尽系统的运算资源; 缓取绕过则是针对生成URL发送一系列的查询,以将所有的请求传送到原始服务器而非缓存内容; Slowloris攻击则是于客户端开启一个连接至服务器端,在请求诸如图片等资源后,无法或缓缓确认下载,强制占用服务器端的连线与资源。
微软建议客户可采用诸如WAF等Layer 7的保护服务,以防范该层级的DDoS攻击,并于其中启用各种配置来防止僵尸网络、恶意IP、可疑流量与HTTP(S)攻击。
虽然Anonymous Sudan声称相关攻击是为了抗议美国政府干涉苏丹的内政,媒体也将它视为亲俄黑客组织,但依照微软最新的黑客组织命名法,微软仍在追踪该组织,且该组织仍在发展中,尚无法归类,因而将它取名为Storm-1359。
