Op vrijdagavond heeft Microsoft op het eigen blog eindelijk iets meer verteld over de storingen waar het al enige tijd mee te kampen heeft. Het artikel noemt Storm-1359 als veroorzaker van de overlast. Daarmee is bevestigd wat security experts al langer wisten: de infra van Microsoft ligt onder vuur van cybercriminelen die bekende DDoS methoden combineren.
Drie soorten DDoS aanvallen
Wie er achter zitten is officieel niet bekend, maar het is erg makkelijk te wijzen naar niet-bevriende mogendheden. Microsoft zegt wel dat de bedreigende actor, die opvallend veel op Telegram in het Russisch communiceert, primair drie soorten DDoS-aanvallen op de applicatielaag gebruikt. Eén type verstuurt miljoenen HTTP-verzoeken die van over de hele wereld worden verstuurd. Door die flooding komt de backend van het systeem zonder verwerkings- en geheugenbronnen te zitten.
Storm-1359 stuurt ook een reeks query’s tegen nieuw gegenereerde URL’s. Omdat die adressen niet bekend zijn en dus ontbreken in de cache gaan de geadresseerde servers die zoeken. Dat zorgt voor overbelasting. Een derde aanvalsmethode is het simuleren van een download via de webserver, maar die handeling niet te bevestigen. Dat leidt ook weer tot een onnodige belasting van de betreffende server, die wacht immers op het signaal een download te starten.
Verzwijgen en vertragen
Dat Microsoft de melding na het sluiten van de beurzen en vlak voor het weekend doet heeft geleid tot de nodige kritiek. Aanvallen tijdelijk verzwijgen om de verdediging op orde te krijgen is gebruikelijk, deze vertraging wijkt daar te sterk van af. Is het zo belangrijk aandeelhouders niet ongerust te maken of was er een andere reden voor deze timing?
Vragen zijn er ook over de robuustheid van de Microsoft clouds, want deze aanvallers en deze methoden zijn helemaal niet nieuw. Eerder dit jaar waren zelfs tal van Nederlandse online omgevingen doelwit van deze criminelen. Microsoft wist dus wat mogelijk was en hoe dit soort aanvallen verloopt.