Microsoft avrebbe subito un attacco da parte di un gruppo di hacker russi che mirava alle agenzie governative statunitensi.

8 OTTOBRE 2021 | Microsoft ha pubblicato una nuova ricerca sulla sicurezza mettendo in luce come la metà degli attacchi informatici sia stato di provenienza russa nell’ultimo anno. Potete leggere il rapporto completo a questo indirizzo.

Nell’ultimo anno, il 58 % di tutti gli attacchi informatici osservati da Microsoft dagli stati-nazione è arrivato dalla Russia. E gli attacchi degli attori statali russi sono sempre più efficaci, passando da un tasso di successo del 21 % lo scorso anno a un tasso del 32 % quest’anno. Gli attori statali russi stanno prendendo sempre più di mira le agenzie governative per la raccolta di informazioni, che sono passate dal 3 % dei loro obiettivi un anno fa al 53 %, in gran parte agenzie coinvolte nella politica estera, nella sicurezza nazionale o nella difesa. I primi tre paesi presi di mira dagli attori statali russi sono stati gli Stati Uniti, l’Ucraina e il Regno Unito.

29 SETTEMBRE 2021 | In un nuovo report, Microsoft mette nuovamente in guardia dal gruppo di hacker russi Nobelium protagonisti di altri attacchi tramite il malware Foggyweb a partire dallo scorso aprile per rubare informazioni a organizzazioni, aziende ed enti governativi – maggiori dettagli a questo indirizzo.

14 LUGLIO 2021 | Microsoft continua a mettere in guardia dagli attacchi verso l’azienda SolarWinds, ma questa volta provenienti dalla Cina. Un gruppo hacker, che si nasconde dietro il nome DEV-0322, sarebbe responsabile di un exploit della vulnerabilità 0-day CVE-2021-35211, in grado mettere in pericolo le reti aziendali e governative.

Microsoft ha rilevato un exploit di esecuzione di codice remoto 0-day utilizzato per attaccare il software FTP SolarWinds Serv-U in attacchi limitati e mirati. Il Microsoft Threat Intelligence Center (MSTIC) attribuisce questa campagna con grande fiducia a DEV-0322, un gruppo che opera fuori dalla Cina, sulla base di vittimologia, tattiche e procedure osservate.

27 GIUGNO 2021 | A un mese di distanza, Microsoft avverte ancora che il gruppo di hacker russi che si cela dietro il nome Nobelium è nuovamente attivo con nuovi attacchi verso account di reti aziendali e governative – maggiori dettagli a questo indirizzo.

28 MAGGIO 2021 | Microsoft mette in guardia nuovamente dal gruppo hacker russo denominato Nobelium, responsabile dell’attacco Solorigate tornato attivo con numerosi attacchi a enti governativi e ONG sparsi in tutto il mondo.

Questa settimana abbiamo osservato attacchi informatici da parte dell’attore della minaccia Nobelium contro agenzie governative, think tank, consulenti e organizzazioni non governative. Questa ondata di attacchi ha preso di mira circa 3.000 account di posta elettronica in più di 150 organizzazioni diverse. Mentre le organizzazioni negli Stati Uniti hanno ricevuto la quota maggiore di attacchi, le vittime mirate si estendono in almeno 24 paesi. Almeno un quarto delle organizzazioni prese di mira erano coinvolte in attività di sviluppo internazionale, umanitarie e per i diritti umani. Nobelium, originario della Russia, è lo stesso attore dietro gli attacchi ai clienti di SolarWinds nel 2020. Questi attacchi sembrano essere la continuazione dei molteplici sforzi di Nobelium per prendere di mira le agenzie governative coinvolte nella politica estera come parte degli sforzi di raccolta di informazioni.  

26 FEBBRAIO 2021 | Nuovi sviluppi nella vicenda Solorigate coinvolgono Microsoft, criticata dal governo americano tramite un membro del senato per aver favorito l’attacco hacker a causa di negligenze nella sicurezza della sua infrastruttura cloud.

Il governo federale spende miliardi per il software Microsoft. Dovrebbe essere cauto nello spendere di più prima di scoprire perché la società non ha avvertito il governo della tecnica di hacking utilizzata dai russi, che Microsoft conosceva almeno dal 2017.

Microsoft ha ribadito la sua innocenza, replicando che le tecniche utilizzate nell’attacco non erano mai state utilizzate prima d’ora. Proprio per dimostrare la sua buona fede, nelle scorse ore Microsoft ha annunciato di aver reso disponibile a tutti il codice utilizzato per identificare l’attacco.

18 FEBBRAIO 2021 | Dopo aver riconosciuto l’attacco, Microsoft ha annunciato di aver concluso le indagini interne in merito alla faccenda Solorigate stabilendo che gli hacker hanno effettivamente sfruttato Azure e altri servizi, ma nessun dato degli utenti o aziende terze è stato compromesso, come dichiarato in precedenza.

Abbiamo ora completato la nostra indagine interna sull’attività dell’attore e vogliamo condividere i nostri risultati, che confermano che non abbiamo trovato prove di accesso ai servizi di produzione o ai dati dei clienti. L’indagine non ha inoltre rilevato alcuna indicazione che i nostri sistemi in Microsoft siano stati utilizzati per attaccare altri.

02 GENNAIO 2021 | In un nuovo report pubblicato nelle scorse ore, Microsoft ha confermato di aver subito l’attacco da parte di un gruppo di hacker, ma che nessun dato degli utenti o servizi sono stati compromessi dalla vicenda Solorigate.

La nostra indagine sul nostro ambiente non ha trovato prove di accesso ai servizi di produzione o ai dati dei clienti. L’indagine, in corso, non ha inoltre rilevato indicazioni che i nostri sistemi siano stati utilizzati per attaccare altri.

Microsoft hackerata

Microsoft sarebbe tra le vittime di un attacco hacker proveniente dalla Russia che mirava principalmente alle agenzie governative, ma che avrebbe coinvolto ben 40 obiettivi e 17’000 clienti nel mondo. Sarebbe finita in mezzo al fuoco degli hacker anche Microsoft, per sua stessa ammissione a causa dello sfruttamento di un exploit del software SolarWind.

Microsoft è stata hackerata come parte della sospetta campagna russa che ha colpito più agenzie governative statunitensi approfittando dell’uso diffuso del software di SolarWinds Corp, secondo persone che hanno familiarità con la questione.

Tuttavia, contrariamente a quanto originariamente pensato, nessun software proprietario di Microsoft sarebbe stato direttamente coinvolto con l’attacco, per tanto non dovrebbe esserci alcun tipo problema di sicurezza per gli utenti.

Come altri clienti SolarWinds, abbiamo cercato attivamente indicatori di questo attore e possiamo confermare di aver rilevato file binari SolarWinds dannosi nel nostro ambiente, che abbiamo isolato e rimosso. Non abbiamo trovato prove di accesso ai servizi di produzione o ai dati dei clienti. Le nostre indagini, che sono in corso, non hanno trovato assolutamente alcuna indicazione che i nostri sistemi siano stati utilizzati per attaccare altri.

Tramite il presidente Brad Smith, Microsoft ha fatto sapere che sta indagando sull’accaduto ma che si tratta senza ombra di dubbio di un attacco mirato allo spionaggio molto sofisticato da parte di una precisa nazione.

Come ha dichiarato il CEO di FireEye Kevin Mandia, dopo aver rivelato il recente attacco, “Stiamo assistendo a un attacco da parte di una nazione con capacità offensive di alto livello”. Mentre gli esperti di sicurezza informatica Microsoft assistono nella risposta, siamo giunti alla stessa conclusione. L’attacco purtroppo rappresenta un attacco di spionaggio ampio e di successo sia alle informazioni riservate del governo degli Stati Uniti che agli strumenti tecnologici utilizzati dalle aziende per proteggerle. L’attacco è in corso ed è attivamente indagato e affrontato dai team di sicurezza informatica nei settori pubblico e privato, inclusa Microsoft. Mentre i nostri team agiscono come primi soccorritori a questi attacchi, queste indagini in corso rivelano un attacco che è notevole per la sua portata, sofisticazione e impatto.

Nelle scorse ore Microsoft aveva anche collaborato attivamente per fermare l’attacco rilasciando un killswitch per disattivare il malware responsabile che aveva infettato il software SolarWinds. Cosa pensate dell’accaduto? Pessima figura per Microsoft o niente di preoccupante? Diteci la vostra nei commenti.

Articolo di Windows Blog Italia
Fonti | 1, 2, 3