微軟證實6月初的服務中斷是因遭到駭客攻擊

微軟的Outlook.com在6月初發生故障，當時親俄駭客組織Anonymous Sudan即對外宣稱是它們針對微軟服務發動分散式服務阻斷（DDoS）攻擊，而微軟上周證實了此事，並將此一駭客組織命名為Storm-1359，同時強調相關攻擊並未影響客戶資料。

微軟說明，自今年6月初開始，旗下某些服務的流量會突發性地增加，造成服務暫時中斷，調查後發現是來自Storm-1359的DDoS攻擊。當時所影響的微軟服務不僅是Outlook.com，還包括Microsoft Teams、SharePoint Online與OneDrive for Business等。

調查顯示，該波的DDoS活動鎖定的是開放式通訊系統互連模型（Open Systems Interconnection，OSI）中的第七層（Layer 7），該層屬於應用程式層，主要提供網路應用並直接與使用者互動，於是微軟調整了Azure的網路應用程式防火牆（Web Application Firewall ，WAF），強化該層級的保護，以避免客戶受到類似的DDoS的影響。

Storm-1359的攻擊目的是為了破壞與宣傳，利用許多殭屍網路及工具以透過各種雲端服務及開放代理基礎設施來發動DDoS攻擊，包括HTTP（S）洪水攻擊、快取繞過攻擊，以及Slowloris攻擊。

其中，HTTP（S）洪水攻擊是藉由發送大量的HTTP（S）請求及SSL/TLS握手來耗盡系統的運算資源；快取繞過則是針對生成URL發送一系列的查詢，以將所有的請求傳送到原始伺服器而非快取內容；Slowloris攻擊則是於客戶端開啟一個連結至伺服器端，在請求諸如圖片等資源後，無法或緩緩確認下載，強制占用伺服器端的連線與資源。

微軟建議客戶可採用諸如WAF等Layer 7的保護服務，以防範該層級的DDoS攻擊，並於其中啟用各種配置來防止殭屍網路、惡意IP、可疑流量與HTTP（S）攻擊。

雖然Anonymous Sudan聲稱相關攻擊是為了抗議美國政府干涉蘇丹的內政，媒體也將它視為親俄駭客組織，但依照微軟最新的駭客組織命名法，微軟仍在追蹤該組織，且該組織仍在發展中，尚無法歸類，因而將它取名為Storm-1359。