En las últimas semanas, un colectivo de hackers que se autodenomina Anonymous Sudan ha sido responsable de lanzar ataques distribuidos de denegación de servicio ( DDoS ) en varios servicios de Microsoft, incluidos Outlook, OneDrive y Microsoft Azure, entre otros. Estos eventos de ataque, que normalmente duraban entre una y dos horas, tuvieron éxito en su objetivo de paralizar los servicios de Microsoft mientras se llevaban a cabo. Sin embargo, antes de esto, Microsoft casi siempre atribuía estas irregularidades a problemas dentro de los propios sistemas de la empresa y no a intrusiones de hackers.
El grupo conocido como Anonymous Sudan no tiene mala voluntad contra Microsoft, lo cual es la clara explicación de sus actividades. El único propósito detrás de ellos es llamar la atención de la gente. Como consecuencia de esto, Microsoft tenía muy pocas posibilidades de reconocer públicamente este hecho, ya que hacerlo jugaría directamente en las manos de los hackers.
Sin embargo, como resultado de la continuación de los ataques en el tiempo, Microsoft ya no pudo ocultar los hechos. Al final, admitieron que, de hecho, un ataque cibernético había causado interrupciones en los servicios en la nube que brindaban. Esta pandilla de hackers se conoce con el nombre de Storm-1359, que les fue otorgado por el equipo de seguridad de Microsoft. Al final, Microsoft llegó a reconocer los ataques DDoS de los que Anonymous Sudan era responsable, lo que provocó irregularidades en los servicios en la nube de Microsoft.
Según los hallazgos del análisis compilado por el equipo de seguridad de Microsoft, la séptima capa fue el objetivo principal de los ataques DDoS orquestados por Storm-1359, en lugar de la tercera o cuarta capa. Como resultado directo de esto, Microsoft reforzó las defensas de la séptima capa, lo que incluyó realizar modificaciones en Azure Web Firewall (WAF), para proteger a los usuarios de los efectos colaterales de los ataques DDoS.
“A partir de la primera parte de junio de 2023, Microsoft vio picos en la cantidad de tráfico dirigido a algunos servicios, lo que interrumpió momentáneamente la disponibilidad. Luego de la apertura oportuna de una investigación, Microsoft reconoció que comenzó a monitorear la actividad continua de DDoS por parte del actor de amenazas conocido como Storm-1359. “Microsoft rastrea a este actor de amenazas”, dijo Microsoft.
Para llevar a cabo sus ataques, que incluían ataques de inundación HTTP y HTTPS, Storm-1359 hizo uso de una serie de botnets y herramientas diferentes. Aprovecharon los protocolos de enlace SSL/TLS de alta capacidad y las solicitudes HTTPS para sobrecargar completamente la infraestructura.
En el caso en que Microsoft era la víctima prevista, el malware Storm-1359 inundó el sistema con millones de solicitudes HTTP/HTTPS por segundo procedentes de direcciones IP de todo el mundo, lo que provocó que el sistema se saturara. Además, Storm-1359 utilizó las tecnologías Cache Bypass para evitar ser almacenado en caché por la CDN. Hizo esto mediante el uso de una serie de solicitudes para abrumar a los sistemas que alimentaban la CDN.
Además, los atacantes utilizaron una herramienta llamada Slowloris, que es un ataque de denegación de servicio, que obligaba al cliente a realizar una solicitud de recursos del servidor pero no comprobaba que el cliente hubiera recibido los recursos solicitados. Esta estrategia obligó al servidor a mantener una conexión abierta y mantener los recursos en la memoria durante el mayor tiempo posible.
Las botnets son, con diferencia, las más importantes. Para llevar a cabo sus ataques, los ciberdelincuentes hacían uso de varios servidores privados virtuales (VPS), proxies, servidores en la nube contratados y herramientas DDoS; pero las botnets siguieron siendo su principal fuente de poder. Estas redes de bots tienen una cantidad infinita de direcciones IP, lo que les permite frustrar constantemente los procedimientos de bloqueo implementados por Microsoft. De hecho, una interceptación integral es bastante difícil de lograr teniendo en cuenta la gravedad de estos ataques. Por otro lado, Storm-1359 parece haber cesado temporalmente sus esfuerzos en Microsoft.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
