מיקרוסופט אישרה שההשבתות בפורטלים Azure, Outlook ו- OneDrive נבעו ממתקפות DDoS נגד שירותי החברה. המתקפות מיוחסות לפושעי הסייבר Storm-1359 המכנים את עצמם אנונימוס סודן. ההשבתות אירעו בתחילת יוני, כאשר פורטל האינטרנט של Outlook.com הותקף ב- 7 ביוני, OneDrive ב- 8 ביוני ו- Microsoft Azure Portal ב- 9 ביוני. מיקרוסופט לא דיווחה באותו זמן שהם תחת מתקפות DDoS, אולם הצהירו על מספר תקריות שבעטיין הם מיישמים תהליכי איזון עומסים על מנת למתן את הבעיה.
בדו"ח שפורסם בשבוע שעבר, רמזה מיקרוסופט על מתקפות DDoS וקבעה כי עלייה בתעבורת הרשת גרמה להשבתת Azure: "זיהינו זינוק בתעבורת הרשת שהשפיע על היכולת לנהל את התעבורה לאתרים אלו וגרם לבעיות עבור לקוחות לגשת לאתרים אלו", הסבירו במיקרוסופט. בפוסט של Microsoft Security Response Center שפורסם ביום שישי, אישרה מיקרוסופט שההשבתות הללו נגרמו על ידי מתקפת DDoS נגד השירותים שלהם על ידי אנונימוס סודן: "החל בתחילת יוני 2023 זיהתה מיקרוסופט עליות בתעבורה כנגד מספר שירותים שהשפיעו באופן זמני על זמינות השירותים. מיקרוסופט פתחה מיד בחקירה ובעקבות כך החלה לעקוב אחר פעילות DDoS מתמשכת של Storm-1359", אישרה מיקרוסופט והוסיפה כי סביר להניח שמתקפות אלו מסתמכות על גישה למספר שרתים פרטיים וירטואליים (VPS) בשילוב עם תשתית ענן שכורה, פרוקסי פתוחים וכלי DDoS. במיקרוסופט ציינו כי לא ראו כל הוכחה לכך שפושעי הסייבר ניגשו לנתוני לקוחות או שפגעו בנתוני לקוחות.
מתקפת DDoS מתרחשת כאשר מתמקדים פושעי סייבר בשירות מקוון באמצעות נפח עצום של בקשות, מה שגורם לשירות להיתקע מכיוון שהוא אינו מסוגל לעבד את כל הבקשות. מיקרוסופט טוענת כי אנונימוס סודן משתמשים בשלושה סוגים של מתקפות DDoS: מתקפות הצפה של HTTP (S), מעקף מטמון ו- Slowloris. כל שיטת DDoS מציפה שירות אינטרנט ומנצלת את כל החיבורים הזמינים כך שהם לא יכולים לקבל עוד בקשות חדשות.
אנונימוס סודן החלה את פעילותה בינואר 2023 והזהירה שהם יבצעו מתקפות סייבר נגד כל מדינה שמתנגדת לסודאן. מאז תקפה הקבוצה ארגונים וסוכנויות ממשלתיות ברחבי העולם והשביתה אותם במתקפות DDoS או הדלפת נתונים גנובים. החל מחודש מאי פנתה הקבוצה לארגונים גדולים ודרשה תשלומים כדי להפסיק את המתקפות. המתקפות כוונו תחילה ל- Scandinavian Airlines (SAS), כאשר דרשו פושעי הסייבר 3,500 דולר כדי לעצור את מתקפות ה- DDoS. מאוחר יותר התמקדה הקבוצה באתרי האינטרנט של חברות אמריקאיות כמו טינדר, Lyft ובתי חולים שונים ברחבי ארה"ב.
בחודש יוני הפנו אנונימוס סודן את תשומת לבם למיקרוסופט, אז החלו במתקפות DDoS על פורטלים נגישים לאינטרנט עבור Outlook, Azure ו- OneDrive ודרשו מיליון דולר כדי לעצור את המתקפות: "לא הצלחתם להדוף את המתקפה שנמשכה במשך שעות, אז מה דעתכם לשלם לנו 1,000,000 דולר ואנחנו נלמד את מומחי אבטחת הסייבר שלכם איך להדוף את המתקפה ואנחנו נעצור את המתקפה מהצד שלנו? מיליון דולר זה בוטנים עבור חברה כמו מיקרוסופט", דרשה הקבוצה.
במהלך מתקפות ה- DDoS על Outlook אמרה הקבוצה שהם מתנהלים במחאה על מעורבותה של ארה"ב בפוליטיקה הסודנית: "זהו קמפיין מתמשך נגד חברות ותשתיות אמריקאיות בגלל הצהרת שר החוץ של ארה"ב שאומר שקיימת אפשרות של פלישה אמריקאית לסודן", אמרו אנונימוס סודן. עם זאת, מספר חוקרי אבטחת סייבר מאמינים כי מדובר במתקפת דגל כוזב וכי ייתכן שהקבוצה מקושרת לרוסיה. ייתכן שהקשר הזה מבוסס על כך כשהקבוצה טוענת להקמת "פרלמנט DARKNET" המורכב מקבוצות פרו-רוסיות אחרות כמו KILLNET ו- REvil.
קבוצת הכופרה מזהירה מפני מתקפות צפויות על תשתיות הבנקאות באירופה: "אנחנו מתחילים להטיל סנקציות על מערכות ההעברות הבנקאיות האירופיות SEPA, IBAN, WIRE, SWIFT, WISE." אמנם לא נמצאה כל אינדיקציה לכך שהחלו מתקפות סייבר על מערכות בנקאות אירופאיות, אך הקבוצה הוכיחה כי עומדים לרשותה משאבים משמעותיים, כך שמוסדות פיננסיים צריכים להיות בכוננות לשיבוש פוטנציאלי.
