В конце июня пользователи могли столкнуться с кратковременной недоступностью анонимного почтового сервиса ProtonMail, с задержками отправки, доставки писем, уточняется что потерь зафиксировано не было. Проблема которой послужило такое несвойственное поведение для сайта оказалась distributed denial of service attack.
Почтовый сервис располагается в Швейцарии, идея сервиса заключается в шифрование письма до его отправки. Письма внутри сети шифруются автоматически. Протон ежедневно подвергается ддос атакам с различных ботнет сетей. Но это не беда, сервис размещен на хорошем защищенном анти-ддос хостинге. Персонал привык устранять такого рода проблемы очень быстро. Но недавно оказался совсем не простой случай, не дешевый ддос с мелким трафиком. А глобальная распределенная много векторная целенаправленная атака.
В своем Twitter аккаунте, директор технического отдела Bart Butler, оповещал пользователей, о событиях, которые происходили из-за инцидента. Ответственность за ддос атаку на сайт почтового сервиса ProtonMail взяла на себя хакерская группа Apophis Squad. В своем блоге twitter злоумышленники по-своему освещали происходящие.
Во время проведения мероприятий по фильтрации негативного трафика и противодействию ddos атаки, специалистами было установлено что Apophis использовали популярную технику нападения DrDoS, TCP flood и SYN flood.
В DrDoS атаке в большинстве случаев используется много взломанных «плечевых» устройств, перенаправляющих (отражающих) запросы от атакующего на цель указанную преступником.
Техника увеличения DDoS-мощности благодаря отражения запросов (Distributed Reflection and Amplification Denial of Service, DrDoS) довольно успешно применяется киберкриминалом уже более десяти лет.
Атака напоминает NTP Amplification DDoS Attack. Отличие заключается в приложение, если в первом случае были DNS сервера которых было огромное количество уязвимых к атаке, то теперь это SSDP, LDAP(Microsoft). Атака основывается на UDP протоколе который не требует установки полного соединения в отличие от TCP.
Руководству компании стало интересно основание, которое привело к таким действиям. Хакеры поделился что заказать ддос атаку на сайт не кто не просил. Цель была выбрана рандомно для проведения тестов и замера мощности нового DDoS сервиса. После разговора прояснилась истинная причина всей картины, хакеры сослались что их спровоцировал твит представителя ProtonMail обозвавший хакеров, клоунами. Если б не это сообщение, то все закончилось раньше, чем началось пояснили в беседе с репортером от Bleeping Computer.
Развития событий началось после легкого SYN food, потом подключились дополнительные резервы в качестве NTP и CLDAP. SYN атака достигала мощностью до 70 Gigabit per second. DrDoS атака увеличила силу в несколько десятков раз. Пиковая отметка была в районе 500 Gigabit\S. Все данные подтвердили сотрудники компании занимавшаяся защитой.
На данный момент почтовый сервис работает в штатном режиме. Расследование не закончено, его результаты будут переданы в правоохранительные органы.
