BOSTON— A principios de junio, interrupciones esporádicas pero graves del servicio afectaron a la suite ofimática insignia de Microsoft —incluidas las aplicaciones de correo electrónico Outlook y OneDrive para compartir archivos— y la plataforma de computación en la nube. Un oscuro grupo de hacktivistas se atribuyó la responsabilidad y dijo que inundó los sitios con tráfico basura en ataques distribuidos de denegación de servicio.
Inicialmente suspicaz por nombrar la causa, Microsoft ha revelado ahora que los ataques DDoS del turbio incidente fueron los culpables.
Recibe las noticias locales y los pronósticos del tiempo directo a tu email. >Inscríbete para recibir newsletters de Telemundo Chicago aquí.
Pero el gigante del software ha ofrecido pocos detalles y no comentó de inmediato cuántos clientes se vieron afectados y si el impacto fue global. Una portavoz confirmó que el grupo que se autodenomina Anonymous Sudan estaba detrás de los ataques. Se atribuyó la responsabilidad en su canal de redes sociales de Telegram en ese momento. Algunos investigadores de seguridad creen que el grupo es ruso.
La explicación de Microsoft en una publicación de blog el viernes por la noche siguió a una solicitud de The Associated Press dos días antes. Escaso en detalles, la publicación dice que los ataques "afectaron temporalmente la disponibilidad" de algunos servicios. Dijo que los atacantes se centraron en la "interrupción y la publicidad" y probablemente usaron infraestructura de nube alquilada y redes privadas virtuales para bombardear los servidores de Microsoft desde las llamadas botnets de computadoras zombies en todo el mundo.
Microsoft dijo que no había evidencia de que se accediera o se comprometiera a los datos de los clientes.
Si bien los ataques DDoS son principalmente una molestia, ya que hacen que los sitios web sean inaccesibles sin penetrarlos, los expertos en seguridad dicen que pueden interrumpir el trabajo de millones si interrumpen con éxito los servicios de un gigante de servicios de software como Microsoft del que depende tanto el comercio global.
No está claro si eso es lo que sucedió aquí.
“Sabemos que algunos recursos eran inaccesibles para algunos, pero no para otros. Esto sucede a menudo con DDoS de sistemas distribuidos globalmente”, agregó Williams. Dijo que la aparente falta de voluntad de Microsoft para proporcionar una medida objetiva del impacto en el cliente "probablemente habla de la magnitud".
Microsoft denominó a los atacantes Storm-1359, utilizando un designador que asigna a grupos cuya afiliación aún no ha establecido. La investigación de ciberseguridad tiende a llevar tiempo, e incluso entonces puede ser un desafío si el adversario es hábil.
Los grupos de piratería prorrusos, incluido Killnet, que la firma de seguridad cibernética Mandiant dice que está afiliada al Kremlin, han estado bombardeando el gobierno y otros sitios web de los aliados de Ucrania con ataques DDoS. En octubre, algunos sitios de aeropuertos de EEUU fueron atacados. El analista Alexander Leslie de la firma de seguridad cibernética Recorded Future dijo que es poco probable que Anonymous Sudan esté ubicado como afirma en Sudán, un país africano. El grupo trabaja en estrecha colaboración con Killnet y otros grupos pro-Kremlin para difundir propaganda y desinformación pro-rusa, dijo.
Edward Amoroso, profesor de la Universidad de Nueva York y director ejecutivo de TAG Cyber, dijo que el incidente de Microsoft destaca cómo los ataques DDoS siguen siendo “un riesgo significativo del que todos estamos de acuerdo en evitar hablar. No es controvertido llamar a esto un problema sin resolver”.
Dijo que las dificultades de Microsoft para defenderse de este ataque en particular sugieren "un único punto de falla". La mejor defensa contra estos ataques es distribuir un servicio de forma masiva, en una red de distribución de contenidos por ejemplo.
De hecho, las técnicas que utilizaron los atacantes no son antiguas, dijo el investigador de seguridad del Reino Unido Kevin Beaumont. “Uno data de 2009”, dijo.
El lunes 5 de junio se informaron impactos graves de las interrupciones de la suite ofimática Microsoft 365, con un máximo de 18,000 informes de interrupciones y problemas en el rastreador Downdetector poco después de las 11 a.m., hora del Este.
En Twitter ese día, Microsoft dijo que Outlook, Microsoft Teams, SharePoint Online y OneDrive for Business se vieron afectados.
Los ataques continuaron durante la semana, y Microsoft confirmó el 9 de junio que su plataforma de computación en la nube Azure se había visto afectada.
El 8 de junio, el sitio de noticias de seguridad informática BleepingComputer.com informó que el alojamiento de archivos OneDrive basado en la nube estuvo inactivo a nivel mundial durante un tiempo.
Microsoft dijo en ese momento que los clientes de OneDrive de escritorio no se vieron afectados, informó BleepingComputer.