Microsoft tiết lộ sự cố “sập hệ thống” đầu tháng 6 là do một cuộc tấn công DDoS

Trong tuần đầu tiên của tháng 6, Microsoft đã bất ngờ gặp sự cố ngừng hoạt động nghiêm trọng ảnh hưởng đến hầu hết các dịch vụ của hãng bao gồm Azure, Outlook và Teams. Mọi thứ đã được Microsoft khắc phục nhanh chóng và chưa ghi nhận bất cứ thiệt hại nghiệm trọng nào từ phía khách hàng. Tuy nhiên phải đến thời điểm hiện tại, công ty Redmond mới bắt đầu tiết lộ nguyên nhân gây ra sự cố. Và không ngoài dự đoán của nhiều chuyên gia, vấn đề bắt nguồn tự một vụ tấn công mạng quy mô lớn.

Trong một bài đăng trên blog mới đây, Microsoft đã tiết lộ chi tiết về cuộc tấn công diễn ra đầu tháng 6 nhắm vào cơ sở hạ tầng mạng, gây sự cố gián đoạn cho hàng loạt dịch vụ, đồng thời khiến các kỹ sư của công ty phải mất gần 15 giờ để khắc phục. Theo gã khổng lồ Redmond, công ty đã xác định được sự gia tăng lưu lượng truy cập đột ngột vào một số dịch vụ của mình, và đã lập tức mở một cuộc điều tra về cuộc tấn công DDoS (Từ chối dịch vụ phân tán).

Microsoft lưu ý thêm rằng các tác nhân đe dọa đã sử dụng nhiều Máy chủ riêng ảo (VPS), proxy, thuê cơ sở hạ tầng đám mây cũng như các công cụ DDoS khác nhau để thực hiện cuộc tấn công. Mặc dù vụ việc diễn ra tương đối phức tạp, nhưng Microsoft xác nhận rằng dữ liệu của khách hàng hoàn toàn không bị truy cập hoặc xâm phạm.

Hoạt động DDoS gần đây này nhắm mục tiêu vào lớp 7 chứ không phải lớp 3 hoặc 4. Microsoft đã tăng cường các biện pháp bảo vệ lớp 7 bao gồm điều chỉnh Tường lửa ứng dụng web Azure (WAF) để bảo vệ khách hàng tốt hơn khỏi tác động của những cuộc tấn công DDoS tương tự.

Microsoft cũng chia sẻ một số chi tiết kỹ thuật xung quanh cuộc tấn công. Theo công ty, tác nhân đe dọa có định danh Storm-1359 đã sử dụng một tập hợp botnet và công cụ để khởi động cuộc tấn công vào các máy chủ của công ty. Những cuộc tấn công này bao gồm HTTP(S) làm quá tải hệ thống và cạn kiệt tài nguyên thông qua một lượng lớn yêu cầu SSL/TLS và HTTP(S) handshake. Trong trường hợp của Microsoft, kẻ tấn công đã gửi hàng triệu yêu cầu HTTP(S) từ vô số địa chỉ IP trên toàn cầu để làm quá tải hệ thống.

Không chỉ vậy, kẻ tấn công còn sử dụng Cache bypass để bỏ qua lớp CDN và làm quá tải hệ thống ban đầu bằng một loạt truy vấn. Cuối cùng, chúng tiếp tục sử dụng Slowloris trong đó máy khách yêu cầu tài nguyên từ máy chủ nhưng không xác nhận việc nhận tài nguyên, buộc máy chủ phải giữ kết nối mở và tài nguyên trong bộ nhớ của nó.

Microsoft kết thúc bài đăng bằng một loạt mẹo và đề xuất dành cho khách hàng Azure để bảo vệ bản thân trước các cuộc tấn công DDoS lớp 7 (Layer 7) trong tương lai. Tuy nhiên, công ty không tiết lộ chi tiết liên quan đến thiệt hại hoặc bất kỳ tác động tài chính nào mà họ phải gánh chịu do vụ tấn công.

Dù là hình thức tấn công không mới, nhưng DDoS vẫn luôn được đánh giá là mối đe dọa hàng đầu đối với các tổ chức, doanh nghiệp toàn cầu. Nguy hiểm hơn, cả mức độ phức tạp lẫn quy mô của các cuộc tấn công DDoS đều được dự báo có xu hướng gia tăng mạnh mẽ thời gian gần đây, với những kỷ lục mới liên tục được thiết lập.