На прошлой неделе защищенный почтовый сервис ProtonMail подвергся DDoS-атаке, которая быстро переросла в масштабную акцию против поддерживающей его инфраструктуры.
Накануне атаки борцы за приватность получили электронное письмо с требованием выкупа в размере 15 биткойнов. Под нажимом всех пострадавших сторон означенная сумма была в итоге уплачена, однако никакого эффекта это не дало.
Защищенная почта ProtonMail была официально запущена в мае 2014 года, ее учредителями являются ЦЕРН и Массачусетский технологический институт. Главным назначением ProtonMail является пресечение массовой слежки; данный веб-сервис использует сквозное шифрование и в настоящее время имеет порядка 500 тыс. подписчиков. Поскольку ProtonMail прописан в Швейцарии и использует местный веб-хостинг, вся пользовательская информация находится под защитой федеральных законов Швейцарии о защите данных.
По свидетельству участников проекта, DDoS-атака на обеспечивающий приватность почтовый сервис началась в ночь на 3 ноября, почти сразу после письма с требованием выкупа. Это был стандартный flood, направленный на IP-адреса ProtonMail, который положил сервис на 15 минут. Инициатором этой атаки предположительно являлась криминальная группа, ответственная за ряд аналогичных инцидентов, недавно зафиксированных на территории Швейцарии.
Следующая DDoS против ProtonMail началась на следующее утро, и владельцы дата-центра, в котором размещались серверы почтовой службы, а также вышестоящий провайдер вынуждены были принять ограничительные меры. Однако за несколько часов новая атака переросла в сложное, широкое наступление по всему фронту, затронувшее других клиентов дата-центра и интернет-провайдеров.
По свидетельству операторов ProtonMail, этот DDoS-инцидент по размаху и силе стал рекордным для Швейцарии. По мощности скоординированные атаки превысили 100 Гбит/с, мусорный поток изливался на все ключевые узлы, включая маршрутизаторы провайдера в Цюрихе, Франкфурте и других городах. В результате дата-центр и интернет-службы, которыми пользуется ProtonMail, оказались недоступными для сотен других клиентов. Ущерб от данной DDoS-акции измеряется сотнями тысяч швейцарских франков (1 франк Швейцарии = 0,925975 евро).
Уступая давлению со стороны пострадавших, ProtonMail согласилась заплатить выкуп, однако атаки не прекратились. В своей записи на страницах срочно созданного блога участники проекта решительно заявили: ProtonMail никогда больше не будет уступать требованиям вымогателей. В настоящее время в Швейцарии проводится расследование силами правительственной группы реагирования на компьютерные инциденты (GovCERT) и национального координационного центра по борьбе с киберпреступлениями (Cybercrime Coordination Unit Switzerland, CYCO), поддержку им оказывает Европол.
Не исключено, что в масштабной DDoS-акции принимали участие две разные группы злоумышленников. Судя по комментариям к Twitter-сообщениям ProtonMail о статусе, аналогичные атаки были проведены также против Safe-Mail.net и HushMail.com, а в минувшее воскресенье дидосеры переключились на Fastmail.
В этот же день операторы ProtonMail констатировали, что их противоборство с атакующими увенчалось успехом. Согласно более раннему заявлению, применяемое на сервисе сквозное шифрование по-прежнему надежно и данные пользователей в ходе атаки не пострадали. Почтовый сервис планирует апгрейд и решил установить крепкую защиту от DDoS. Поскольку такие услуги недешевы (по предварительной оценке, они будут стоить ProtonMail порядка $100 в год), операторы защищенной почты учредили специальный фонд для добровольных пожертвований и по состоянию на вчерашний день уже собрали около $47 тыс.
