Microsoft bestätigt, dass die Outlook-Ausfälle im Juni das Ergebnis eines DDoS-Angriffs waren
Anfang Juni begannen Outlook-Benutzer, sich massenhaft über die Unerreichbarkeit des Dienstes während der Hauptnutzungszeiten zu beschweren. Einem Artikel von The Associated Press zufolge war dies das Ergebnis eines DDoS-Angriffs. Kürzlich bestätigte Microsoft den Angriff in seinem Blogbeitrag, in dem es auch einige Details und Empfehlungen zum Schutz gab.
Was bekannt ist
Aus dem Blogbeitrag geht nicht hervor, ob es dem Unternehmen gelungen ist, die Situation unter Kontrolle zu bringen, oder ob der Angriff von selbst gestoppt wurde. Der offizielle Microsoft 365-Status-Account auf Twitter meldete jedoch, dass der Ausfall am 5. Juni auftrat und später am selben Tag wiederholte. Es scheint, dass die Situation am nächsten Morgen endlich geklärt war.
In einem AP-Artikel wird erwähnt, dass ein Sprecher (offenbar von Microsoft) bestätigte, dass der Angriff von einer Gruppe namens Anonymous Sudan durchgeführt wurde, die mindestens seit Januar aktiv ist. Dem Artikel zufolge behauptete die Gruppe, dass ihr Angriff etwa eineinhalb Stunden dauerte, bevor er gestoppt wurde.
Der ehemalige Hacker der National Security Agency, Jake Williams, wird von AP zitiert: "Es gibt keine Möglichkeit, die Auswirkungen abzuschätzen, wenn Microsoft diese Informationen nicht zur Verfügung stellt." Ihm war nicht bekannt, dass Outlook schon einmal so betroffen war.
Im Jahr 2021 gelang es Microsoft, einen der größten jemals verzeichneten DDoS-Angriffe zu entschärfen. Dieser Angriff dauerte über 10 Minuten und erreichte ein maximales Verkehrsvolumen von 2,4 Terabit pro Sekunde (Tbps). Im Jahr 2022 stieg die Angriffsgeschwindigkeit auf 3,47 Tbps. Es ist nicht bekannt, wie groß die Datenverkehrsspitzen bei dem Angriff im Juni waren.
Nach Angaben von Microsoft zielte der DDoS-Angriff auf die OSI-Schicht sieben ab, also die Netzwerkschicht, auf der Anwendungen auf Netzwerkdienste zugreifen. Von hier aus erhalten Ihre Anwendungen, wie z. B. E-Mail, ihre Daten. Microsoft geht davon aus, dass die Angreifer, die sie Storm-1359 nennen, Botnets und Tools verwendet haben, um den Angriff von "mehreren Cloud-Diensten und offenen Proxy-Infrastrukturen" aus zu starten, wobei ihr Hauptaugenmerk auf Störung und Publicity lag.
Quelle: The Verge