Microsoft xác nhận dịch vụ đám mây Microsoft 365 và Azure thường xuyên gián đoạn do hacker tấn công DDoS
Vn-Z.vn Ngày 24 tháng 6 năm 2023 , theo nội dung bài viết chính thức trên blog của Microsoft, hãng này đã thừa nhận các dịch vụ đám mây Microsoft 365 và Azure của họ đã bị tấn công DDoS liên tục dẫn đến bị gián đoạn nhiều lần.
Microsoft cho biết, một nhóm hacker ẩn danh có tên là Anonymous Sudan đứng ra chịu trách nhiệm cho các cuộc tấn công DDoS này. Từ đầu tháng 6 năm 2023, các dịch vụ của Microsoft đã bị tấn công DDoS liên tiếp từ nhóm hacker này. Microsoft đánh dấu nhóm tấn công này là "Storm-1359" và cho rằng nhóm này có thể sở hữu trong tay nhiều công cụ và mạng lưới zombie rất đông đảo giúp cho các hacker thực hiện các cuộc tấn công DDoS từ nhiều dịch vụ đám mây và cơ sở hạ tầng proxy mở.
Theo Microsoft, Storm-1359 thực hiện các cuộc tấn công DDoS Layer 7:
Tấn công DDoS Layer 7 (L7) là một loại tấn công mạng được thực hiện trên tầng ứng dụng trong mô hình OSI (Open Systems Interconnection). Tầng ứng dụng (Application Layer) là tầng cao nhất trong mô hình OSI và là nơi mà các ứng dụng giao tiếp với nhau.
Trong tấn công DDoS Layer 7, kẻ tấn công sử dụng các kỹ thuật tấn công để làm cho máy chủ ứng dụng của website bị quá tải và không thể phản hồi các yêu cầu từ người dùng. Kỹ thuật tấn công Layer 7 thường được sử dụng để tấn công các trang web hoặc ứng dụng web, bao gồm các trang web thương mại điện tử, trang web ngân hàng và các trang web chứa thông tin nhạy cảm.
Kỹ thuật tấn công Layer 7 thường tấn công vào các lỗ hổng của ứng dụng web, bao gồm các lỗ hổng về bảo mật, lỗi xử lý đầu vào, lỗi xử lý dữ liệu và các lỗi khác. Khi kẻ tấn công khai thác thành công một lỗ hổng, họ sẽ gửi các yêu cầu giả mạo đến máy chủ ứng dụng của website để gây ra sự cố về hiệu suất và giảm khả năng phục vụ các yêu cầu từ người dùng.
Các kỹ thuật tấn công Layer 7 bao gồm SQL Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), và Slowloris, chỉ để kể một số ví dụ. Việc phát hiện và phòng ngừa các cuộc tấn công Layer 7 là một trong những thách thức lớn đối với các nhà cung cấp dịch vụ và các chuyên gia bảo mật mạng.
Microsoft cho biết Storm-1359 đã tạo ra một số loại lưu lượng tấn công DDoS Layer 7 như sau:
- Tấn công lũy tiến HTTP(S): Tấn công này nhằm vào việc tải các tài nguyên SSL/TLS và yêu cầu HTTP(S) để tiêu tốn tài nguyên hệ thống. Trong trường hợp này, những kẻ tấn công sẽ gửi hàng triệu request HTTP(S) với tải trọng cao từ nhiều địa điểm trên toàn cầu, dẫn đến tài nguyên tính toán của ứng dụng bị tiêu tốn (CPU và bộ nhớ).
- Tấn công vòng lặp đệ quy: Hình thức tấn công này cố gắng vượt qua tầng CDN và có thể làm quá tải máy chủ nguồn. Trong trường hợp này, những kẻ tấn công sẽ gửi một loạt các yêu cầu truy vấn đến URL được tạo ra, buộc tầng front-end chuyển hướng tất cả các yêu cầu đến máy chủ nguồn thay vì cung cấp dịch vụ từ bộ đệm.
- Tấn công Slowloris: Tấn công này nhắm vào đối tượng khách hàng mở kết nối với máy chủ web, yêu cầu tài nguyên , sau đó không xác nhận tải xuống (hoặc chậm trong việc xác nhận yêu cầu tải xuống). Điều này buộc máy chủ web giữ kết nối mở và lưu trữ tài nguyên được yêu cầu trong bộ nhớ.
Microsoft cho rằng hành vi tấn công của hacker chủ yếu nhắm vào lớp 7 (Layer 7), chứ không phải là lớp 3 (Layer 3) hoặc lớp 4 (Layer 4). Dù hiện nay Microsoft đã tăng cường bảo vệ cho lớp 7, bao gồm điều chỉnh tường lửa ứng dụng web của Azure (Azure Web Application Firewall - WAF).
Microsoft đang tập trung vào bảo vệ ứng dụng web của họ khỏi các cuộc tấn công DDoS Layer 7, bao gồm các cuộc tấn công Slowloris và các cuộc tấn công khác nhằm vào các lỗ hổng bảo mật của ứng dụng web. Microsoft đang tăng cường bảo vệ bằng cách sử dụng các công nghệ như tường lửa ứng dụng web và các công cụ phát hiện tấn công để giảm thiểu rủi ro từ các cuộc tấn công DDoS Layer 7.
Microsoft cho biết, một nhóm hacker ẩn danh có tên là Anonymous Sudan đứng ra chịu trách nhiệm cho các cuộc tấn công DDoS này. Từ đầu tháng 6 năm 2023, các dịch vụ của Microsoft đã bị tấn công DDoS liên tiếp từ nhóm hacker này. Microsoft đánh dấu nhóm tấn công này là "Storm-1359" và cho rằng nhóm này có thể sở hữu trong tay nhiều công cụ và mạng lưới zombie rất đông đảo giúp cho các hacker thực hiện các cuộc tấn công DDoS từ nhiều dịch vụ đám mây và cơ sở hạ tầng proxy mở.
Theo Microsoft, Storm-1359 thực hiện các cuộc tấn công DDoS Layer 7:
Tấn công DDoS Layer 7 (L7) là một loại tấn công mạng được thực hiện trên tầng ứng dụng trong mô hình OSI (Open Systems Interconnection). Tầng ứng dụng (Application Layer) là tầng cao nhất trong mô hình OSI và là nơi mà các ứng dụng giao tiếp với nhau.
Trong tấn công DDoS Layer 7, kẻ tấn công sử dụng các kỹ thuật tấn công để làm cho máy chủ ứng dụng của website bị quá tải và không thể phản hồi các yêu cầu từ người dùng. Kỹ thuật tấn công Layer 7 thường được sử dụng để tấn công các trang web hoặc ứng dụng web, bao gồm các trang web thương mại điện tử, trang web ngân hàng và các trang web chứa thông tin nhạy cảm.
Kỹ thuật tấn công Layer 7 thường tấn công vào các lỗ hổng của ứng dụng web, bao gồm các lỗ hổng về bảo mật, lỗi xử lý đầu vào, lỗi xử lý dữ liệu và các lỗi khác. Khi kẻ tấn công khai thác thành công một lỗ hổng, họ sẽ gửi các yêu cầu giả mạo đến máy chủ ứng dụng của website để gây ra sự cố về hiệu suất và giảm khả năng phục vụ các yêu cầu từ người dùng.
Các kỹ thuật tấn công Layer 7 bao gồm SQL Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), và Slowloris, chỉ để kể một số ví dụ. Việc phát hiện và phòng ngừa các cuộc tấn công Layer 7 là một trong những thách thức lớn đối với các nhà cung cấp dịch vụ và các chuyên gia bảo mật mạng.
Microsoft cho biết Storm-1359 đã tạo ra một số loại lưu lượng tấn công DDoS Layer 7 như sau:
- Tấn công lũy tiến HTTP(S): Tấn công này nhằm vào việc tải các tài nguyên SSL/TLS và yêu cầu HTTP(S) để tiêu tốn tài nguyên hệ thống. Trong trường hợp này, những kẻ tấn công sẽ gửi hàng triệu request HTTP(S) với tải trọng cao từ nhiều địa điểm trên toàn cầu, dẫn đến tài nguyên tính toán của ứng dụng bị tiêu tốn (CPU và bộ nhớ).
- Tấn công vòng lặp đệ quy: Hình thức tấn công này cố gắng vượt qua tầng CDN và có thể làm quá tải máy chủ nguồn. Trong trường hợp này, những kẻ tấn công sẽ gửi một loạt các yêu cầu truy vấn đến URL được tạo ra, buộc tầng front-end chuyển hướng tất cả các yêu cầu đến máy chủ nguồn thay vì cung cấp dịch vụ từ bộ đệm.
- Tấn công Slowloris: Tấn công này nhắm vào đối tượng khách hàng mở kết nối với máy chủ web, yêu cầu tài nguyên , sau đó không xác nhận tải xuống (hoặc chậm trong việc xác nhận yêu cầu tải xuống). Điều này buộc máy chủ web giữ kết nối mở và lưu trữ tài nguyên được yêu cầu trong bộ nhớ.
Microsoft cho rằng hành vi tấn công của hacker chủ yếu nhắm vào lớp 7 (Layer 7), chứ không phải là lớp 3 (Layer 3) hoặc lớp 4 (Layer 4). Dù hiện nay Microsoft đã tăng cường bảo vệ cho lớp 7, bao gồm điều chỉnh tường lửa ứng dụng web của Azure (Azure Web Application Firewall - WAF).
Microsoft đang tập trung vào bảo vệ ứng dụng web của họ khỏi các cuộc tấn công DDoS Layer 7, bao gồm các cuộc tấn công Slowloris và các cuộc tấn công khác nhằm vào các lỗ hổng bảo mật của ứng dụng web. Microsoft đang tăng cường bảo vệ bằng cách sử dụng các công nghệ như tường lửa ứng dụng web và các công cụ phát hiện tấn công để giảm thiểu rủi ro từ các cuộc tấn công DDoS Layer 7.
