Tous les utilisateurs n'ont pas nécessairement été affectés par des interruptions de services. Microsoft avait simplement laissé entendre un incident technique sous surveillance et pour lequel des mesures d'atténuation ont été déployées. Une explication est désormais fournie par Microsoft. Il s'agissait d'attaques DDoS (Distributed Denial of Service). De plusieurs types, ces cyberattaques ont été lancées pour cibler la couche 7 du modèle OSI. Une couche supérieure qui fait référence à la couche applicative et non pas la couche réseau.
" Ces attaques reposent probablement sur l'accès à de multiples serveurs privés virtuels (VPS) en conjonction avec une infrastructure cloud louée, des proxies ouverts et des outils DDoS ", écrit Microsoft qui ajoute : " Nous n'avons vu aucune preuve que les données des clients ont été consultées ou compromises. "
En soulignant qu'une solution WAF (Web Application Firewall) contribue à une meilleure protection des clients contre l'impact de telles attaques DDoS, le groupe de Redmond n'entre pas vraiment dans les détails.
Les cyberattaques sont en tout cas attribuées à un groupe Storm-1359 qui aurait essentiellement cherché à se faire de la publicité, en plus de perturber des services.
Storm-1359 est le nom donné par Microsoft. Les attaques DDoS avaient été revendiquées par un groupe se présentant sous l'identité de Anonymous Sudan. Actif depuis janvier 2023, il n'a aucun lien avec le collectif Anonymous.
Le groupe Anonymous Sudan prétend être formé d'hacktivistes à motivation politique et originaires du Soudan. Selon BleepingComputer, l'action visant Microsoft a été légitimée en protestation de l'implication des États-Unis dans la politique soudanaise. Des experts en cybersécurité estiment que Anonymous Sudan n'a en réalité aucun rapport avec le Soudan. Il aurait par contre des liens étroits avec… la Russie.