Microsoft conferma che le interruzioni di Outlook di giugno sono state il risultato di un attacco DDoS
All'inizio di giugno, gli utenti di Outlook hanno iniziato a lamentarsi in massa dell'inaccessibilità del servizio durante i picchi di utilizzo. Secondo un articolo dell'Associated Press, questo è stato il risultato di un attacco DDoS. Recentemente, Microsoft ha confermato l'attacco nel suo blog post, dove ha fornito anche alcuni dettagli e raccomandazioni per la protezione.
Ecco cosa sappiamo
Il post sul blog non indica se l'azienda sia riuscita a controllare la situazione o se l'attacco si sia fermato da solo. Tuttavia, l'account ufficiale Microsoft 365 Status su Twitter ha riferito che l'interruzione si è verificata il 5 giugno e si è poi ripetuta nel corso della giornata. Sembra che la situazione sia stata finalmente risolta la mattina successiva.
Un articolo dell'AP riporta che un portavoce (apparentemente di Microsoft) ha confermato che l'attacco è stato condotto da un gruppo chiamato Anonymous Sudan, attivo almeno da gennaio. Secondo l'articolo, il gruppo ha affermato che l'attacco è durato circa un'ora e mezza prima di essere interrotto.
Secondo l'ex hacker della National Security Agency Jake Williams, citato da AP: "non c'è modo di valutare l'impatto se Microsoft non fornisce queste informazioni". Non sapeva che Outlook fosse già stato colpito in precedenza.
Nel 2021, Microsoft è riuscita a mitigare uno dei più grandi attacchi DDoS mai registrati. L'attacco è durato oltre 10 minuti e ha raggiunto un volume di traffico massimo di 2,4 terabit al secondo (Tbps). Nel 2022, la velocità dell'attacco è aumentata a 3,47 Tbps. Non è noto quanto siano stati significativi i picchi di traffico durante l'attacco di giugno.
Secondo Microsoft, il DDoS ha preso di mira il livello OSI sette, che è il livello di rete in cui le applicazioni accedono ai servizi di rete. È qui che le applicazioni, come la posta elettronica, ottengono i dati. Microsoft ritiene che gli aggressori, chiamati Storm-1359, abbiano utilizzato botnet e strumenti per lanciare l'attacco da "molteplici servizi cloud e infrastrutture proxy aperte", con l'obiettivo principale di disturbare e farsi pubblicità.
Fonte: The Verge