Microsoft zegt het slachtoffer te zijn geworden van cyberaanvallen

boston –

Begin juni troffen periodieke en ernstige serviceonderbrekingen de thuiskantoorsuite van Microsoft – inclusief Outlook-e-mail en OneDrive-toepassingen voor het delen van bestanden – en zijn cloud computing-platform. Een schimmige hackgroep heeft de verantwoordelijkheid opgeëist en zegt dat het sites heeft overspoeld met ongewenst verkeer in gedistribueerde denial-of-service-aanvallen.

Aanvankelijk was Microsoft terughoudend met het identificeren van de oorzaak, maar heeft nu onthuld dat DDoS-aanvallen door een mysterieuze parvenu inderdaad de oorzaak waren.

Maar de softwaregigant gaf weinig details – en gaf niet meteen commentaar op hoeveel klanten werden getroffen en of de impact wereldwijd is. Een woordvoerster bevestigde dat de groep die zichzelf Anonymous Sudan noemt achter de aanslagen zat. Het claimde destijds de verantwoordelijkheid op zijn socialemediakanaal Telegram. Sommige beveiligingsonderzoekers denken dat de groep Russisch is.

De uitleg van Microsoft kwam vrijdagavond in een blogpost na een verzoek van de Associated Press twee dagen eerder. Voortbordurend op de details, zei de post dat de aanvallen “tijdelijk de beschikbaarheid” van sommige diensten hadden aangetast. Het zei dat de aanvallers zich concentreerden op “verstoring en propaganda” en waarschijnlijk gehuurde cloudinfrastructuur en virtuele privénetwerken gebruikten om de servers van Microsoft te bombarderen vanuit zogenaamde botnets over de hele wereld.

Microsoft zei dat er geen bewijs was dat klantgegevens waren ingezien of gecompromitteerd.

Hoewel DDoS-aanvallen in wezen hinderlijk zijn – websites ontoegankelijk maken zonder gehackt te worden – zeggen beveiligingsexperts dat ze het werk van miljoenen kunnen verstoren als ze erin slagen de diensten van softwaregiganten zoals Microsoft, waarvan een groot deel van de wereldhandel afhankelijk is, te boycotten.

Het is niet duidelijk of dit is wat hier is gebeurd.

“We kunnen de impact echt niet meten als Microsoft deze informatie niet verstrekt”, zegt Jake Williams, een senior cybersecurity-onderzoeker en voormalig aanvallende hacker bij de National Security Agency. Williams zei dat hij niet wist dat Outlook eerder op deze schaal was aangevallen.

“We weten dat sommige bronnen voor sommigen ontoegankelijk waren, maar niet voor anderen. Dit gebeurt vaak met DDoS voor wereldwijd gedistribueerde systemen”, voegde Williams eraan toe. Hij zei dat de klaarblijkelijke onwil van Microsoft om een ​​objectieve meting te geven van de klantimpact “misschien over volume spreekt”.

Microsoft noemde de aanvallers Storm-1359, met behulp van een locator die het toewijst aan groepen waarvan de aansluiting nog niet is bewezen. Cyberbeveiligingsspionage kost tijd – en zelfs dan kan het een uitdaging zijn als de tegenstander bekwaam is.

Pro-Russische hackgroepen, waaronder Killnet – waarvan cyberbeveiligingsbedrijf Mandiant zegt dat het gelieerd is aan het Kremlin – hebben de regering en andere websites van de bondgenoten van Oekraïne gebombardeerd met DDoS-aanvallen. In oktober werden enkele locaties van Amerikaanse vliegvelden gebombardeerd. Analist Alexander Leslie van cyberbeveiligingsbedrijf Recorded Future zei dat het onwaarschijnlijk was dat Anonymous Sudan zich bevond zoals het beweert te zijn in Sudan, een Afrikaans land. Hij zei dat de groep nauw samenwerkt met Kelnet en andere pro-Kremlin-groepen om pro-Russische propaganda en desinformatie te verspreiden.

Het Microsoft-incident benadrukt hoe DDoS-aanvallen “een enorm risico blijven waarover we het allemaal eens zijn om het niet te bespreken. Het is niet controversieel om het een onopgelost probleem te noemen”, zegt Edward Amoruso, een professor aan de New York University en CEO van TAG Cyber.

Hij zei dat de moeilijkheden van Microsoft bij het tegengaan van deze specifieke aanval duidden op een “single point of failure”. De beste verdediging tegen deze aanvallen is om een ​​dienst breed te verspreiden, bijvoorbeeld via een contentdistributienetwerk.

De Britse beveiligingsonderzoeker Kevin Beaumont zei dat de methoden die door de aanvallers worden gebruikt niet verouderd zijn. “Een ervan dateert uit 2009”, zei hij.

Ernstige gevolgen van de uitval van de Microsoft 365 Office-suite werden gemeld op maandag 5 juni, met een piek van 18.000 uitval en problemen gemeld op de Downdetector kort na 11.00 uur ET.

Op Twitter zei Microsoft die dag dat Outlook, Microsoft Teams, SharePoint Online en OneDrive for Business getroffen waren.

De aanvallen gingen de hele week door, waarbij Microsoft op 9 juni bevestigde dat zijn Azure cloud computing-platform was getroffen.

Op 8 juni meldde de computerbeveiligingsnieuwssite BleepingComputer.com dat cloudgebaseerde OneDrive-bestandshosting al enige tijd wereldwijd niet beschikbaar is.

Microsoft zei destijds dat OneDrive-desktopklanten niet werden getroffen, meldde BleepingComputer.