DDoS – „Czarny Listopad” providerów

bezpieczeństwo
DDoS
Krzysztof Surgut
30.11.2015 Krzysztof Surgut

Parę dni temu był „Czarny Piątek” (z ang. „Black Friday„). Choć nazwa może wydawać się ponura, to tysiącom klientom galerii handlowych w USA i Wielkiej Brytanii, bardzo dobrze się kojarzy.

Listopad 2015 r.  można nazwać „Czarnym Listopadem”. Jednak w tym wypadku, niektórym administratorowi serwisów poczty elektronicznej, nie było „do śmiechu”. Dlaczego?

 

16.11.2015r. opisywałem w jednym z wpisów na naszym firmowym blogu, scenariusz ataku DDoS na serwis bezpiecznej poczty elektronicznej firmy ProtonMail.

Firmą, która pomogła ProtonMail uporać się atakiem DDoS na ten serwis, był Radware.

Dzisiaj wiemy więcej. Raport ERT (Emergency Response Team) firmy Radware donosi …

Nie tylko ProtonMail…

Przypominam, że do ataku DDoS na serwis ProtonMail przyznała się grupa hakerska Armada Collection. Scenariusz był klasyczny – wysłali mail z żądaniem okupu. Przed wysłaniem wiadomości z szantażem, wykonany został atak DDoS, który trwał ok. 15-30min.

Po niespełnieniu żądań, rozpoczynał się właściwy atak atak DDoS na serwis ProtonMial. Atak trwał przez 6 dni – uporała się z nim dopiero firma Radware.

Gdyby nie specjaliści z Radware to nie wiadomo jak długo serwis ProtonMail byłby niedostępny.

Ale nie tylko ProtonMail był ofiarą ataku DDoS w listopadzie bieżącego roku. Według podobnego scenariusza przypuszczono ataki DDoS na inne serwisy, rozsiane po całym świecie.

Potwierdzają to także wpisy na Twitter’ze i w serwisach internetowych tychże firm.

DDoS i Neomailbox

Neomailbox to szwajcarski serwis szyfrowanej poczty elektronicznej, a także usług anonimowego surfowania po Internecie.

Neomailbox komunikowało 06.11.2015r. o problemach z usługami, których powodem był atak DDoS.

Neomailbox, podobnie jak ProtonMail, także zdecydowało nie poddawać się szantażystom.

Na koniec drugiego dnia Neomailbox poinformowało, że ich administratorzy uporali się z atakiem DDoS. Nie podano do wiadomości jakich metod użyto do odparcia ataku.

DDoS i VFEmail

VFEmail to  serwis poczty elektronicznej z kodowaniem zawartości.

Serwis VFEmail, to kolejna firma, która odczuła działalność Armada Collection w listopadzie 2015r. Początkowo potraktowali to jako „dzieciny wybryk”. W ich wypadku atak DDoS zaczął się 03.11.2015r., jednak dopiero dzień później komunikowali:

Dzień później VFEmail informował, że atak DDoS wciąż trwa.

W kolejnych wiadomościach podawano informację, że dotychczasowe zabiegi administratorów hostingu jak i providerów internetowych nie przynoszą rezultatów.

Our upstream provider has shut down our IP Space. We need to protect the upstream provider, allow you to get your email,…

Posted by VFEmail.net on 5 listopada 2015

Na niewiele się zdały działania administratorów, migracje adresów IP czy zmiany portów. W dniu 12.11.2015r. pojawiają się kolejne komunikaty o ataku DDoS wygenerowanym przez Armada Collection.

Można powiedzieć „Żarty się kończyły” – atak DDoS przybrał na sile i osiągał momentami 200Gbps i 495 milionów pakietów na sekundę.

Firma VFEmail.net nie komunikuje szczegółów poradzenia sobie z atakiem DDoS. Jedyne co zamieszczono to podziękowania dla Tucker Preston, za pomoc w tych trudnych chwilach i rozwiązanie problemu ataku DDoS.

A to nie ostatni serwis mailowy, który doświadczył w listopadzie 2015r. ataków DDoS.

DDoS i Hushmail

Hushmail to także provider szyfrowanej poczty elektronicznej, który siedzibę ma w Kanadzie. Świadczą usługi zarówno dla klientów indywidualnych jak i biznesowych.

5.11.2015r. administratorzy serwisu Hushmail.com zaobserwowali problemy w działaniu ich usług.

Na drugi dzień wciąż występowały problemy z serwisem, o czym provider informował na Twitterze:

7.11.2015r. podano do wiadomości, co jest powodem problemów z usługą poczty – atak DDoS:

Sat. Nov 7, 6:15 PM Pacific Time: Some services are unavailable due to a continued denial-of-service attack.

Dwa dni później na Twitterze pojawia się informacja, że atak wciąż trwa:

11.11.2015r. nikt nie miał wątpliwości, że to nie koniec ataku DDoS. Na stronie Hushmail.com pojawia się wpis o ciągłej walce z atakiem DDOS, który dezorganizuje serwis:

Wed. Nov 11, 7:45 PM Pacific Time: We’re experiencing a service outage as a result of the ongoing DDoS incidents. We’re working to bring services back online as quickly as possible.

Provider w krótkim oświadczeniu z dn. 6.11.2015r.  – z początku ataku DDoS – potwierdza, że za atakiem DDoS stoją szantażyści. Praktycznie w każdym przypadku hakerzy przesłali swoje żądania. Ponadto bardzo lakonicznie powiedziano fakt zgłoszeniu ataku do odpowiednich władz. Jednak Hushmail.com nie komentuje, w jaki sposób poradził sobie z atakiem, co może sugerować iż zarząd ugiął się i zapłacił szantażystom.  

DDoS i Fastmail

Hushmail.com nie był ostatnią ofiarą ataków DDoS na providerów poczty feralnego listopada 2015r. Fastmail.com to australijski serwis poczty elektronicznej. Administratorzy serwisu Fastmail.com w dn. 8.11.2015r. poinformowali o problemach z usługą. Jeszcze tego same dnia wiadomo było co jest tego powodem – atak DDoS. 


Kolejny dzień nie przyniósł zmian. Atak DDoS blokował usługi providera. Jedyne co mógł Fastmail zrobić, to informować swoich klientów o przyczynie problemów.

W przypadku FastMail podjęto natychmiast działania i ataki DDoS w kolejnych dniach tylko na chwilę destabilizowały usługę.

Kolejne ataki DDoS zostały odparte, o czy informowani byli klienci.

Provider nie komentuje ataków, poinformował jedynie lakonicznie, że zawiadomił rządowy CERT Australii oraz że posiadają odpowiednie systemy do mitigacji ataków DDoS. Wprawdzie przez 2 dni serwis miał duże problemy z działaniem, to kolejnego dnia problemy były sporadyczne, co potwierdzałoby dość dobre przygotowanie providera do odpierania ataków DDoS.

A to wciąż nie koniec listy firm, które doświadczyły „Czarnego DDoS-owego listopada”.

DDoS i ZOHO

Kolejnym był ZOHO – bardzo znany serwis mi. poczty elektronicznej, ale także CRM i wielu innych usług. Firma ZOHO zatrudnia blisko 3.500 ludzi na całym świecie i świadczy usługi dla ponad 15 milionów klientów z całego świata.

04.11.2015r. klienci serwisu ZOHO zaobserwowali problemy z usługami. Kolejnego dnia serwis zawiadamiał o ataku DDoS:

07.11.2015r. firma postanowił szerzej skomentować problemy w działaniu swojego serwisu:


Kolejnego dnia nie było złudzeń. Atak DDoS wciąż trwał:

9.11.2015r także nie przyniósł znaczącej poprawy. Atak DDoS masakrował serwis.

Kolejny dzień nie przyniósł dobrych wiadomości dla użytków ZOHO.


„Światełko w tunelu” pojawiło się dopiero 11.11.2015r – po blisko tygodniu walki z atakiem DDoS.

Ostateczny sukces w walce z atakiem DDoS firma ZOHO ogłosiła następnego dnia. Provider nie komentuje sposobu poradzenia sobie z atakiem DDoS, jedno jest pewne – atak nazwano KRYMINALNYM, co potwierdzałoby fakt próby wymuszenia haraczu przez przestępczą grupę hakerską. Dane ze strony status ZOHO potwierdzają, że w powyższych dniach ze świadczonymi usługami był „kompleksowy” kłopot.

A to nie ostatnia ofiara listopadowych ataków DDoS na serwisy poczty elektronicznej.

DDoS i Runbox

Runbox.com to norweski serwis kodowanej poczty elektronicznej. W listopadzie, także administratorzy Runbox.com mieli pełne ręce roboty.

4.11.2015r. klienci Runbox.com zaczęli zgłaszać problemy z usługą.


Parę godzin później provider powiadomił o ataku DDoS na swój serwis.

Opis sytuacji na firmowym blogu nie pozostawiał wątpliwości. Atak to jedynie zapowiedź kłopotów. Firma otrzymała żądanie okupu, a przedsmakiem był 34Gbps atak DDoS.

Podobnie jak wcześniejsze ofiary, Runbox zawiadomił rządową agencję zajmującą się cyberprzestępcznością – w tym wypadku była to NorCERT (norweski, rządowy zespół ds. incydentów w sieci) oraz Økokrim (urząd ds. ścigania przestępczości gospodarczej oraz zanieczyszczeń środowiska).

Kolejnego dania administratorzy monitorowali sytuację. Najpierw zarejestrowana krótkie ataki DDoS o wielkości 2-3 Gbps. Wieczorem jednak nastąpił impakt wielkości 42Gbps. Ten atak DDoS nie zaburzył działania systemów providera.

Kolejny atak DDoS nastąpił parę godzin później i osiągnął 50Gbps. Administratorzy Runbox.com stopniowo wyłączali usługi, z uwagi na problemy z coraz bardziej wyrafinowanym atakiem DDoS.

Dopiero nad ranem kolejnego dnia poczta elektroniczna ponownie zaczęły normalnie funkcjonować.

Co ciekawe, podobnie jak w przypadku ProtonMail, atakujący mocno tłumaczyli się, że nie każdy z przeprowadzonych ataków był ich działaniem. Nie potrafili wytłumaczyć kto i dlaczego dokonywał ataku DDoS.

Na drugi dzień nie zaobserwowane kolejnych ataków DDoS, pomimo tego że provider nie uległ żądaniom szantażystów. Nawet wydał specjalne oświadczenie, że będzie ulegał szantażom – co potwierdza kryminalny charakter ataków DDoS.

Podumowanie

Ilość ataków DDoS w listopadzie pokazała, że w Internecie działa parę zorganizowanych grup hakerów, które posiadają spore możliwości w zakresie generowania ataków DDoS – największy zarejestrowany miał 200 Gbps.

Brak jest na dzisiaj komentarzy czy to była tylko zorganizowana akcja Armada Collection i jakiejś bliżej nieznanej grupy, który podszywała się pod część z tych ataków – przeprowadzając kolejne duże, wielowektorowe ataki DDoS. Czy też była to akcja paru grup hakerskich, w żaden sposób niepowiązanych ze sobą.

Jedno jest pewne. Wszystkie ataki miały miejsce na początku listopada 2015r. Zaatakowano serwisy z każdego zakątka świata: poczynając od Stanów Zjednoczonych, przez Kanadę i Australię, kończąc na Norwegii czy Szwajcarii.

Komunikacja to podstawa

Z doświadczeń wyżej wymienionych firm wynika jasno. Warto komunikować do swoich klientów o problemach z usługami – zwłaszcza, gdy powodem jest przestępcza działalność grup hakerskich. Praktycznie każdy z providerów dziękował swoimi klientom, że nie opuścili ich w tak trudnych chwilach, a pod każdym wpisem pojawiało się sporo komentarzy klientów (większość pozytywnych lub z pomysłami zaradzenia problemowi).

Ciekawy jest przykład ProtonMail – w ich wypadku miała miejsce społeczna zbiórka pieniędzy, na wykupienie komercyjnej usługi ochrony przed atakami DDoS. W ramach tej akcji zebrano wymaganą kwotę blisko 50tys. USD, za którą kupiono ochronę przed tak dużym i skomplikowanym atakiem DDoS – na cały rok.

Procedury, procedury, procedury

Nie ulega wątpliwości, że firmy które nie były przygotowane na takie ataki DDoS potrzebowały co najmniej tygodnia, aby poradzić sobie z przywróceniem swoich serwisów.

Praktycznie w każdym przypadku działania administratorów serwisów, administratorów usług hosting, a nawet administratorów sieci ISP, nie wystarczały do odparcia wielowektorowanych, wolumetrycznych ataków DDoS. Problemem był nie tylko wolumen niechcianego ruchu, ale także duża komplikacja samej metody ataków DDoS.

Wszystkie opisane przypadki potwierdzają zaangażowanie rządowych CERT oraz rządowych instytucji ścigania przestępstw w cyberprzestrzeni.

Wniosek z wszystkich przypadków jest jednoznaczny: brak analizy problemów ataków DDoS i procedur postępowania w przypadku dużych ataków DDoS, skutkuje długotrwałym niedostępnością serwisu.

Tylko dzięki wzorowej komunikacji z Klientami oraz ich wyrozumiałości, providerzy nie odnotowali znaczących strat finansowych w postaci odpływu klientów. Pytanie czy przy częstszych incydentach związanych z DDoS i nieodstępnością usług, decyzje klientów nie okazałyby się całkiem inne.

W gronie specjalistów wciąż trwają dywagacje nie tylko co do „dziwnych ataków DDoS”, do których nie przyznawała się Armada Collection. Dającym do myślenia jest także fakt, że na cel wzięto serwisy szyfrowanej poczty elektronicznej. Ale to już ciekawy temat dla wszelkich „spiskowych teorii dziejów”, którzy uważają że była to zaplanowana akcja … (tylko „kogo?” i „po co?”). Wiele hipotez próbuje łączyć te ataki DDoS z późniejszymi atakami terrorystycznymi w Paryżu – jednak jak na razie są to tylko zwykłe dywagacje.

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
Bezpieczeństwo IT
Atak DDoS na ProtonMail - co wiemy?
Bezpieczeństwo IT
Anty DDoS - jak łatwo uruchomić ochronę