Dietro l’operazione c’è il collettivo Midnight Blizzard, che nel 2021 ha violato SolarWinds. L’ultimo attacco, invece, ha colpito gli account di posta elettronica di professionisti che lavorano nei settori di sicurezza informatica e legale dell’azienda.
Cyber attacco a Microsoft. Il team responsabile della sicurezza informatica del colosso tech fondato da Bill Gates e Paul Allen ha comunicato, attraverso il blog ufficiale della società, di aver subìto un attacco ai propri sistemi aziendali da parte di un gruppo di cyber criminali legati alla Russia. Il riferimento è al collettivo Midnight Blizzard – conosciuto anche come Nobelium –, che ha colpito le caselle di posta di alcuni top manager e dipendenti negli uffici di cybersecurity e legali.
Secondo Microsoft, il gruppo è riuscito ad accedere a una “percentuale molto ridotta” di account di posta elettronica aziendali, “inclusi i membri del nostro team di leadership senior e i dipendenti delle nostre funzioni di cybersecurity, legali e di altro tipo”, riuscendo a visionare alcuni documenti allegati. “Stiamo provvedendo a informare i dipendenti che hanno avuto accesso alle email”, precisa ancora l’azienda. L’attacco non riguarderebbe i profili degli utenti (“non ci sono prove che l’attore della minaccia abbia avuto accesso agli ambienti dei clienti, ai sistemi di produzione, al codice sorgente o ai sistemi di intelligenza artificiale”, viene rimarcato).
Microsoft: attacchi informatici alle password
La tecnica utilizzata dai pirati informatici russi per sferrare il cyber attacco a Microsoft è quella del password spray. Rispetto agli attacchi di brute force, che cercano di individuare una singola password tentando tutte le eventuali combinazioni, il password spraying fa leva sull’utilizzo di credenziali comuni e deboli particolarmente diffuso tra la maggior parte degli utenti.
Gli hacker criminali cercano di accedere a più account ricorrendo a queste password, circoscrivendo il pericolo di blocco dei tentativi e incrementando le probabilità di esito positivo. Si tratta, dunque, di un’inversione concettuale che il cyber criminale sfrutta per scongiurare l’eventualità di essere bloccato dal sistema di difesa presente all’interno dei sistemi di accesso (considerato, poi, che tra un tentativo e l’altro per un singolo identificativo trascorre un rilevante lasso temporale).
Nuovo paradigma sulla cybersecurity
“Agiremo immediatamente per applicare i nostri standard di sicurezza ai sistemi e ai processi aziendali interni di proprietà di Microsoft. Queste modifiche potrebbero causare interruzioni ai processi aziendali esistenti”. Così ancora Microsoft – da tempo impegnata su sostanziosi cambiamenti nella modalità in cui non solo elabora, ma costruisce, testa e amministra tanto i suoi software quanto i suoi servizi –, in rimando all’attacco di Midnight Blizzard (il gruppo sarebbe al servizio della Foreign Intelligence Service della Federazione Russa, ed è conosciuto per prendere di mira governi, entità diplomatiche, organizzazioni non governative e, appunto, fornitori di servizi tecnologici).
È bene ricordare che negli ultimi anni l’azienda di Redmond è stata al centro di alcuni cyber attacchi particolarmente impattanti: da SolarWinds (un’operazione di spionaggio su larga scala) e – sempre nel 2021 – a Microsoft Exchange Server, il software a cui le aziende e le organizzazioni in tutto il globo ricorrono per gestire email. In quest’ultimo caso, secondo l’azienda statunitense gli hacker criminali responsabili erano collegati al governo cinese.