Microsoft accusa hacker cinesi per l’attacco a Sharepoint: cosa sappiamo su Linen Typhoon e Violet Typhoon

In una dichiarazione ufficiale, Microsoft ha puntato il dito contro tre gruppi di cybercriminali legati a Pechino

L’attacco hacker che ha colpito Microsoft è responsabilità di gruppi di cybercriminali cinesi. Così l’azienda di Redmond punta il dito contro due gruppi, Linen Typhoon e Violet Typhoon, che sarebbero attivi dalla metà del 2010 e che in passato si sono concentrati soprattutto sul furto di proprietà intellettuale e sullo spionaggio. «Abbiamo osservato anche un altro thread actor con sede in Cina, identificato con il nome di Storm-2603, che sfrutta queste vulnerabilità», ha dichiarato l’azienda in un comunicato ufficiale.

Le tattiche, tecniche e procedure usate dai gruppi, infatti, sarebbero «allineate con le attività osservate in precedenza di questi attori malevoli». Linen Typhoon, nato nel 2012, in passato ha attaccato organizzazioni di governo, della difesa, di pianificazione strategica. Il gruppo Violet Typhoon, attivo invece dal 2015, ha sempre sfruttato vulnerabilità nelle infrastrutture online prendendo di mira ex personale governativo e militare, ong, think tank, ma anhce media digitali e cartacei negli Stati Uniti, in Asia ma anche in Europa. Sul terzo gruppo (Storm-2603), che comunque identificato come cybercriminali legati a Pechino, Microsoft non è riuscita a identificare gli obiettivi e quindi le finalità degli attacchi.

Intanto l’azienda è riuscita a individuare l’esatto punto che è stato preso di mira dagli hacker nell’attacco dello scorso lunedì, correggendo così la vulnerabilità definita «zero-day» che è stata sfruttata dai tre gruppi di cybercriminali. 

Lunedì l’attacco a Sharepoint

La dichiarazione di Microsoft arriva un giorno dopo l’attacco che ha preso di mira Sharepoint, il software destinato alle aziende in cui è possibile caricare documenti su cui, fra le altre cose, si può anche lavorare in tempo reale con altri collaboratori. 
La falla sfruttata dagli hacker è una variante di una già conosciuta, di cui si conosceva l’esistenza già da inizio luglio ma diversa a sufficienza da consentire ai criminali di agire indisturbati per tre giorni. Un attacco «zero-day», cioè punti deboli di cui non si conosce ancora l’esistenza né di cui si conosce la risoluzione.
Secondo i ricercatori di Eye Security, chi ha sfruttato la falla era in grado di estrarre e divulgare informazioni sensibili dai server Sharepoint. La compagnia di sicurezza, che è riuscita a fermare in tempo l’attacco in corso su uno dei server di un proprio cliente, ha scoperto che l’attacco era sistemico e su scala globale.

Per non perdere le ultime novità su tecnologia e innovazione
iscriviti alla newsletter di Login

22 luglio 2025 ( modifica il 22 luglio 2025 | 16:47)

© RIPRODUZIONE RISERVATA