All’inizio di giugno, su Twitter sono iniziate a comparire lamentele riguardanti un’interruzione del servizio di Outlook, che ha colpito fino a 18.000 utenti al culmine di quello che si è rivelato essere un attacco Distributed Denial-of-Service (DDoS). Microsoft ha riconosciuto l’attacco in un post sul blog di venerdì, offrendo alcuni dettagli tecnici e raccomandazioni per proteggersi da tali attacchi in futuro.
L’attacco DDoS e la risposta di Microsoft
Il post sul blog di Microsoft non menziona se l’azienda è riuscita a riprendere il controllo o se l’attacco si è esaurito da solo. Tuttavia, su Twitter, l’account Microsoft 365 Status ha twittato sull’interruzione mentre si verificava il 5 giugno, poi di nuovo più tardi quel giorno, sembrando infine riuscire a riprendere il controllo il mattino successivo. Secondo un articolo dell’Associated Press, una portavoce (presumibilmente di Microsoft, anche se non è esplicitamente chiaro nell’articolo) ha confermato che il gruppo responsabile dell’attacco era Anonymous Sudan.
Anonymous Sudan e l’attacco
Anonymous Sudan è un gruppo che è attivo almeno da gennaio, secondo un articolo di Cybernews, che ha riportato l’attacco il giorno in cui è avvenuto. Secondo l’articolo, il gruppo ha affermato che il suo attacco è durato circa un’ora e mezza prima di fermarsi. Jake Williams, un ex hacker offensivo dell’Agenzia per la Sicurezza Nazionale citato nella storia dell’AP, ha affermato che “non c’è modo di misurare l’impatto se Microsoft non fornisce tali informazioni”, e non era a conoscenza di un attacco così pesante a Outlook in precedenza.
La natura dell’attacco DDoS
L’attività DDoS, secondo il post sul blog di Microsoft, ha preso di mira il livello 7 dell’OSI, ovvero il livello di una rete in cui le applicazioni accedono ai servizi di rete. È qui che le tue app, come la posta elettronica, richiedono i loro dati. Microsoft ritiene che gli aggressori, che chiama Storm-1359, abbiano utilizzato botnet e strumenti per lanciare i suoi attacchi “da più servizi cloud e infrastrutture proxy aperte”, e che sembrava essere concentrato sulla distruzione e sulla pubblicità.