На прошлой неделе защищенный почтовый сервис ProtonMail подвергся DDoS-атаке, которая быстро переросла в масштабную акцию против поддерживающей его инфраструктуры. Накануне атаки борцы за приватность получили электронное письмо с требованием выкупа в размере 15 биткойнов. Под нажимом всех пострадавших сторон означенная сумма была в итоге уплачена, однако никакого эффекта это не дало.

Защищенная почта ProtonMail была официально запущена в мае 2014 года, ее  учредителями являются ЦЕРН и Массачусетский технологический институт. Главным назначением ProtonMail является пресечение массовой слежки; данный веб-сервис использует сквозное шифрование и в настоящее время имеет порядка 500 тыс. подписчиков. Поскольку ProtonMail прописан в Швейцарии и использует местный веб-хостинг, вся пользовательская информация находится под защитой федеральных законов Швейцарии о защите данных.

По свидетельству участников проекта, DDoS-атака на обеспечивающий приватность почтовый сервис началась в ночь на 3 ноября, почти сразу после письма с требованием выкупа. Это был стандартный flood, направленный на IP-адреса ProtonMail, который положил сервис на 15 минут. Инициатором этой атаки предположительно являлась криминальная группа, ответственная за ряд аналогичных инцидентов, недавно зафиксированных на территории Швейцарии.

Следующая DDoS против ProtonMail началась на следующее утро, и владельцы дата-центра, в котором размещались серверы почтовой службы, а также вышестоящий провайдер вынуждены были принять ограничительные меры. Однако за несколько часов новая атака переросла в сложное, широкое наступление по всему фронту, затронувшее других клиентов дата-центра и интернет-провайдеров.

По свидетельству операторов ProtonMail, этот DDoS-инцидент по размаху и силе стал рекордным для Швейцарии. По мощности скоординированные атаки превысили 100 Гбит/с, мусорный поток изливался на все ключевые узлы, включая маршрутизаторы провайдера в Цюрихе, Франкфурте и других городах. В результате дата-центр и интернет-службы, которыми пользуется ProtonMail, оказались недоступными для сотен других клиентов. Ущерб от данной DDoS-акции измеряется сотнями тысяч швейцарских франков (1 франк Швейцарии = 0,925975 евро).

Уступая давлению со стороны пострадавших, ProtonMail согласилась заплатить выкуп, однако атаки не прекратились. В своей записи на страницах срочно созданного блога участники проекта решительно заявили: ProtonMail никогда больше не будет уступать требованиям вымогателей.

В настоящее время в Швейцарии проводится расследование силами правительственной группы реагирования на компьютерные инциденты (GovCERT) и национального координационного центра по борьбе с киберпреступлениями (Cybercrime Coordination Unit Switzerland, CYCO), поддержку им оказывает Европол.

Не исключено, что в масштабной DDoS-акции принимали участие две разные группы злоумышленников. Судя по комментариям к Twitter-сообщениям ProtonMail о статусе, аналогичные атаки были проведены также против Safe-Mail.net и HushMail.com, а в минувшее воскресенье дидосеры переключились на Fastmail.

В этот же день операторы ProtonMail констатировали, что их противоборство с атакующими увенчалось успехом. Согласно более раннему заявлению, применяемое на сервисе сквозное шифрование по-прежнему надежно и данные пользователей в ходе атаки не пострадали. Почтовый сервис планирует апгрейд и решил установить крепкую защиту от DDoS. Поскольку такие услуги недешевы (по предварительной оценке, они будут стоить ProtonMail порядка $100 тыс. в год), операторы защищенной почты учредили специальный фонд для добровольных пожертвований и по состоянию на вчерашний день уже собрали около $47 тыс.

Update. В понедельник, 9 ноября, мощная DDoS-атака возобновилась. Комментируя новый всплеск DDoS-активности репортерам The Register, исполнительный директор ProtonMail Энди Иен (Andy Yen) подчеркнул, что стараниями добровольцев-экспертов веб-сервис продолжает работать, хотя противник проявляет упорство и применяет разные векторы. Также к радости ProtonMail выбранный ею вендор защиты от DDoS вник в ситуацию и пошел навстречу новому клиенту, вдвое снизив цену; фонд пожертвований уже почти набрал требуемую сумму.

Update 2. В новой блог-записи (от 10 ноября) ProtonMail сообщает, что DDoS все еще продолжаются, но ситуация уже два дня под контролем. Веб-сервисы по большей части восстановлены усилиями швейцарского интернет-провайдера IP-Max и специалистов из Radware. С компанией Radware, специализирующейся на защите от DDoS, заключено партнерское соглашение, денежные средства для оплаты ее услуг уже собраны в полном объеме.

В ближайшие недели будет произведен экспертный анализ киберинцидента, авторами которого являются две разные группы. Установлено, что вымогательская DDoS была инициирована криминальной группой Armada, ей и был передан выкуп. Вымогатели по собственному почину поспешили откреститься от второй, более мощной атаки. Другие дидосеры пока не идентифицированы. Они не вступали в контакт с ProtonMail и не выставляли никаких требований; по всей видимости, их единственной задачей был вывод защищенной почтовой службы из строя любой ценой.

Экспертам: информация о DDoS-атаке на ProtonMail, затронувшей ее хостера и нескольких интернет-провайдеров, предоставляется по заявке, направленной на security@protonmail.ch.

Пользователям: в связи с киберинцидентом выпуск ProtonMail 3.0, запланированный на конец ноября, задерживается.

Категории: DoS-атаки

Комментарии (2)

  1. Victor
    1

    Ошибка в статье.
    «Поскольку такие услуги недешевы (по предварительной оценке, они будут стоить ProtonMail порядка $100 в год»
    — $100 Тысяч в год

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *