Microsoft afferma che le interruzioni all’inizio di giugno di Outlook, la sua piattaforma cloud, erano attacchi informatici

Thomas Truchel | fototico | Immagini Getty

All’inizio di giugno, interruzioni del servizio intermittenti e gravi hanno colpito la suite per l’home office di Microsoft, tra cui la posta elettronica di Outlook e le applicazioni di condivisione di file OneDrive, e la sua piattaforma di cloud computing. Un oscuro gruppo di hacker ha rivendicato la responsabilità, affermando di aver inondato i siti con traffico indesiderato in attacchi denial-of-service distribuiti.

Inizialmente, Microsoft era reticente nell’identificare la causa e ora ha rivelato che gli attacchi DDoS da parte di un misterioso nuovo arrivato ne erano effettivamente la causa.

Ma il gigante del software ha fornito pochi dettagli e non ha commentato l’entità degli attacchi. Non ha detto quanti clienti sono stati colpiti né ha descritto gli aggressori, che ha chiamato Storm-1359. Un gruppo che si fa chiamare Anonymous Sudan ha rivendicato la responsabilità sul proprio canale Telegram sui social media in quel momento. Alcuni ricercatori di sicurezza ritengono che il gruppo sia russo.

La spiegazione di Microsoft è arrivata in un post sul blog venerdì sera dopo una richiesta dell’Associated Press due giorni prima. Elaborando i dettagli, la pubblicazione afferma che gli attacchi hanno “temporaneamente compromesso la disponibilità” di alcuni servizi. Ha affermato che gli aggressori si sono concentrati su “interruzioni e propaganda” e probabilmente hanno utilizzato infrastrutture cloud in affitto e reti private virtuali per bombardare i server di Microsoft dalle cosiddette botnet in tutto il mondo.

Microsoft ha affermato che non vi erano prove che i dati dei clienti fossero stati violati o compromessi.

Mentre gli attacchi DDoS sono essenzialmente una seccatura, rendendo i siti Web inaccessibili senza essere hackerati, gli esperti di sicurezza affermano che potrebbero interrompere il lavoro di milioni di persone se riuscissero a boicottare i servizi di giganti del software come Microsoft da cui dipende gran parte del commercio mondiale.

Non è chiaro se questo è quello che è successo qui.

“Non abbiamo davvero modo di misurare l’impatto se Microsoft non fornisce queste informazioni”, ha affermato Jake Williams, ricercatore senior di sicurezza informatica ed ex hacker offensivo presso la National Security Agency. Williams ha affermato di non essere a conoscenza che Outlook fosse stato attaccato su questa scala in precedenza.

“Sappiamo che alcune risorse erano inaccessibili ad alcuni, ma non ad altri. Questo accade spesso con DDoS per sistemi distribuiti a livello globale”, ha aggiunto Williams. Ha affermato che l’apparente riluttanza di Microsoft a fornire una misura obiettiva dell’impatto sui clienti “potrebbe parlare di volume”.

Per quanto riguarda l’identità di Storm-1359, Williams ha detto che non pensa che Microsoft lo sappia ancora. Non sarebbe insolito. Lo spionaggio della sicurezza informatica tende a richiedere del tempo e anche in questo caso può essere una sfida se l’avversario è abile.

Gruppi di hacker filo-russi, tra cui Killnet, che la società di sicurezza informatica Mandiant afferma essere affiliata al Cremlino, hanno bombardato il governo e altri siti web degli alleati dell’Ucraina con attacchi DDoS. A ottobre, alcune località degli aeroporti americani sono state bombardate.

L’incidente di Microsoft evidenzia come gli attacchi DDoS rimangano “un enorme rischio di cui tutti concordiamo di evitare di parlare. Non è controverso definirlo un problema irrisolto”, ha dichiarato Edward Amoruso, professore alla New York University e CEO di TAG Cyber.

Ha detto che le difficoltà di Microsoft nel contrastare questo particolare attacco hanno indicato un “singolo punto di errore”. La migliore difesa contro questi attacchi consiste nel distribuire ampiamente un servizio, ad esempio su una rete di distribuzione di contenuti.

Il ricercatore di sicurezza britannico Kevin Beaumont ha affermato che i metodi utilizzati dagli aggressori non sono obsoleti. “Uno di loro risale al 2009”, ha detto.

Lunedì 5 giugno sono stati segnalati gravi impatti dovuti alle interruzioni della suite Microsoft 365 Office, con un picco di 18.000 interruzioni e problemi segnalati sul Downdetector poco dopo le 11:00 ET.

Su Twitter quel giorno, Microsoft ha affermato che Outlook, Microsoft Teams, SharePoint Online e OneDrive for Business sono stati interessati.

Gli attacchi sono continuati per tutta la settimana, con Microsoft che ha confermato il 9 giugno che la sua piattaforma di cloud computing Azure era stata colpita.

L’8 giugno, il sito di notizie sulla sicurezza informatica BleepingComputer.com ha riferito che l’hosting di file OneDrive basato su cloud è inattivo a livello globale da un po’ di tempo.

Microsoft ha affermato all’epoca che i clienti desktop di OneDrive non erano interessati, ha riferito BleepingComputer.