A Microsoft confirmou que as falhas de serviço que no início de junho afetaram alguns serviços da empresa foram resultado de um ataque informático. Na altura estiveram inacessíveis durante algum tempo - cerca de duas horas - serviços como o Outlook, o OneDrive ou o Teams.

A empresa explica agora que o apagão se deveu a uma sobrecarga dos servidores de suporte aos serviços, provocada por um ataque DDoS (Distributed Denial of Service). Garante, no entanto, que não identificou sinais de que os dados de clientes tenham sido afetados pelo problema.

"A partir do início de junho de 2023, a Microsoft identificou picos de tráfego em alguns serviços que afetaram temporariamente a sua disponibilidade", reconheceu a empresa, numa nota no blog. Na sequência das falhas, a investigação interna ao evento permitiu identificar o ataque DDoS, que a empresa batizou como Storm - 1359.

Um ataque DDoS consiste no direcionamento de elevados volumes de tráfego de internet para os servidores alvo do ataque, que deixam de conseguir responder ao elevado volume de pedidos e continuar a disponibilizar o serviço em questão.

Microsoft volta a estar na “mira” dos hackers após ataque informático que afetou o Outlook
Microsoft volta a estar na “mira” dos hackers após ataque informático que afetou o Outlook
Ver artigo

Nem na altura, nem agora, a Microsoft divulgou quantos utilizadores, a nível global, terão sido afetados pelo problema, num primeiro momento classificado como uma falha relacionada com questões técnicas. Como recorda a Reuters, este foi o quarto evento do género a afetar serviços da Microsoft este ano. Depois deste evento, agora reconhecido como ataque, já houve outro, detalhado pela portuguesa VisionWare.

Na altura do ataque, um grupo que se identifica como Anonymous Sudão reclamou a autoria do evento e adiantou que tinha exigido um milhão de dólares à empresa para não revelar vulnerabilidades. Uma porta-voz da Microsoft, citada pela Fortune, terá agora confirmado que o grupo foi mesmo responsável pelo ataque.

Especialistas de segurança contactados pela revista defendem, no entanto, que o nome do grupo pouco deverá ter a ver com a sua verdadeira origem. No final de março, especialistas de segurança da Trustwave SpiderLabs publicaram um artigo dando conta das conclusões de uma investigação interna à verdadeira origem deste grupo.

Nos últimos meses, o grupo foi responsável por vários ataques DDoS a empresas e entidades de vários países ocidentais, como a Alemanha, Suécia, Países Baixos ou Austrália. O pretexto oficial para estes ataques é uma retaliação a ações ou medidas contra Estados ou cidadãos islâmicos, nos países em questão.

A SpiderLabs defende antes que o grupo é um projeto do coletivo russo Killnet, alegadamente patrocinado pelo Governo russo, uma ligação que várias empresas de segurança, como a Mandiant ou a portuguesa VisionWare, entre outras, também dão como certa.

“A SpiderLabs não conseguiu confirmar que o grupo está baseado no Sudão, nem que algum de seus membros seja desse país, mas com base nas evidências disponíveis, parece bastante provável que o Anonymous Sudão seja um projeto do grupo Killnet, possivelmente incluindo alguns membros da Europa Oriental”, pode ler-se no texto publicado pela empresa de segurança.

Os ataques DDoS são uma receita amplamente usada também pelo grupo Killnet, que ao longo dos ano passado realizou vários, a infraestruturas e serviços críticos de diferentes países. Todos estes países têm em comum o facto de serem apoiantes da Ucrânia. Além da semelhança de métodos, o Anonymous Sudão pública conteúdos em russo e o Killnet já divulgou informação sobre as atividades do grupo.

A Microsoft apenas refere que a motivação do ataque parece ter sido a disrupção dos serviços e a busca de protagonismo. Os atacantes terão recorrido a infraestruturas cloud e redes privadas alugadas, para pôr em ação redes de computadores zoombie que enviaram milhares de pedidos em simultâneo para os servidores da Microsoft.

A Microsoft, além de ser uma empresa norte-americana, tem um papel extremamente ativo na proteção das infraestruturas críticas dos Estados Unidos e tem vindo a fazer o mesmo em relação à Ucrânia, através dos seus centros de monitorização de eventos.