Защищенная электронная почта ProtonMail со среды работает с перебоями из-за DDoS. Такого рода инциденты случаются на популярном веб-сервисе чуть не каждый день, но на этот раз провайдер столкнулся с непривычно мощной атакой, к тому же многовекторной.

В результате доставка писем и VPN-связь начали тормозить, сайт периодически пропадал из доступа. Тем не менее, согласно ProtonMail, эти отказы были кратковременными, в пределах 10 минут — благодаря наличию средств спецзащиты, которые были развернуты на сервисе после неудачной попытки заплатить выкуп вымогателям-дидосерам, а также эффективной помощи партнера, израильской компании Radware, специализирующейся на защите от DDoS. Потерь почтовой корреспонденции зафиксировано не было.

Как оказалось, автором варварской акции является криминальная группа, называющая себя Apophis Squad. У нее есть аккаунт в Twitter, и дидосеры с увлечением комментировали свои действия, подтрунивая над пользователями ProtonMail и ее техническим директором Бартом Батлером (Bart Butler), который параллельно вел хронику событий.

Позднее репортер Bleeping Computer связался с дидосерами и в приватной беседе попытался выяснить причину нападения на ProtonMail. Оказалось, что эта мишень была выбрана случайным образом в ходе бета-тестирования DDoS-сервиса, который Apophis Squad готовит к запуску. В Twitter участники группировки написали, что пробная атака была проведена как DrDoS с использованием протокола SSDP. Согласно этому сообщению, мощность атаки составила 200 Гбит/с.

Собеседник Bleeping Computer отметил, что им удалось вызвать минутный отказ сервиса, и этим все бы и окончилось, если бы не «обидный» твит Батлера — представитель ProtonMail назвал резвящихся противников клоунами. В результате последовала более мощная DDoS, которая, по собственной оценке Apophis Squad, продолжалась несколько часов и достигла 500 Гбит/с (в Radware эту цифру не подтвердили). Атакующие вначале использовали технику SYN flood, затем DDoS с плечом — NTP и CLDAP. Использование всех этих векторов отметил также другой собеседник Bleeping Computer — исследователь, пожелавший остаться неизвестным.

На следующий день, 28 июня, на ProtonMail обрушилась еще одна DDoS-атака: SYN flood мощностью от 50 до 70 Гбит/с, сменившаяся DrDoS CHARGEN в 2 Гбит/с. В Radware оценку Apophis Squad не смогли подтвердить, но отметили, что злоумышленники использовали несколько техник DrDoS, а также TCP flood и SYN flood.

Так кто они, обидчивые Apophis Squad, пришедшие в Twitter около двух лет назад? По свидетельству Bleeping Computer, время их активности на этом сервисе, а также используемый домен говорят о том, что данная группировка базируется в России, хотя сами они отрицают связь с этой страной. В Radware предположили, что Apophis Squad — скучающие британские подростки. Они часто зависают в геймерском чате Discord, где активно продвигают свой будущий сервис, утверждая, что он позволит проводить DDoS-атаки в обход защиты CloudFlare с использованием протоколов NTP, DNS, SSDP, Memcached, LDAP, HTTP, а также VSE, ARME, Torshammer и XML-RPC.

Тем временем ProtonMail, по всем признакам, все еще под атакой и сбоит. Radware вчера испытывала какие-то трудности, поэтому операторы почтовой службы решили обратиться к другому поставщику услуг по защите от DDoS. Расследование еще не закончено, его результаты будут переданы в правоохранительные органы.

Категории: DoS-атаки, Главное