Microsoft bekräftar att Outlook-avbrotten i juni var resultatet av en DDoS-attack
I början av juni började Outlook-användare klaga i massor över att tjänsten inte gick att nå under hög belastning. Enligt en artikel i The Associated Press var detta resultatet av en DDoS-attack. Nyligen bekräftade Microsoft attacken i sitt blogginlägg, där man också gav några detaljer och rekommendationer för skydd.
Det här är vad vi vet
Blogginlägget anger inte om företaget lyckades kontrollera situationen eller om attacken stoppades på egen hand. Det officiella Microsoft 365 Status-kontot på Twitter rapporterade dock att avbrottet inträffade den 5 juni och sedan återkom senare samma dag. Det verkar som att situationen slutligen löstes nästa morgon.
En AP-artikel nämner att en talesperson (uppenbarligen från Microsoft) bekräftade att attacken utfördes av en grupp som heter Anonymous Sudan, som har varit aktiv sedan åtminstone januari. Enligt artikeln hävdade gruppen att deras attack varade i ungefär en och en halv timme innan den stoppades.
Vi fortsätter att observera stabil servicehälsa sedan vi har tillämpat våra olika förebyggande mildringar och vi kommer noggrant att övervaka tjänsten om det skulle uppstå ett återfall.
- Microsoft 365 Status (@MSFT365Status) 7 juni 2023
Enligt den tidigare National Security Agency-hackern Jake Williams, som citeras av AP: "Det finns inget sätt att bedöma effekterna om inte Microsoft tillhandahåller den informationen." Han kände inte till att Outlook hade drabbats tidigare.
År 2021 lyckades Microsoft mildra en av de största DDoS-attacker som någonsin registrerats. Attacken varade i över 10 minuter och nådde en maximal trafikvolym på 2,4 terabit per sekund (Tbps). Under 2022 ökade attackhastigheten till 3,47 Tbps. Det är inte känt hur stora trafikspikarna var under attacken i juni.
Enligt Microsoft var DDoS-attacken riktad mot OSI-lager sju, vilket är det nätverkslager där applikationer får åtkomst till nätverkstjänster. Det är här som dina applikationer, t.ex. e-post, får sina data. Microsoft tror att angriparna, som de kallar Storm-1359, använde botnät och verktyg för att starta attacken från "flera molntjänster och öppna proxyinfrastrukturer", med deras huvudsakliga fokus på störningar och publicitet.
Källa: The Verge