Parę dni temu był „Czarny Piątek” (z ang. „Black Friday„). Choć nazwa może wydawać się ponura, to tysiącom klientom galerii handlowych w USA i Wielkiej Brytanii, bardzo dobrze się kojarzy.

Listopad 2015 r.  można nazwać „Czarnym Listopadem”. Jednak w tym wypadku, niektórym administratorowi serwisów poczty elektronicznej, nie było „do śmiechu”. Dlaczego?

16.11.2015r. opisywałem w jednym z wpisów na naszym firmowym blogu, scenariusz ataku DDoS na serwis bezpiecznej poczty elektronicznej firmy ProtonMail.

Firmą, która pomogła ProtonMail uporać się atakiem DDoS na ten serwis, był Radware.

Dzisiaj wiemy więcej. Raport ERT (Emergency Response Team) firmy Radware donosi …

Nie tylko ProtonMail…

Przypominam, że do ataku DDoS na serwis ProtonMail przyznała się grupa hakerska Armada Collection. Scenariusz był klasyczny – wysłali mail z żądaniem okupu. Przed wysłaniem wiadomości z szantażem, wykonany został atak DDoS, który trwał ok. 15-30min.

Po niespełnieniu żądań, rozpoczynał się właściwy atak atak DDoS na serwis ProtonMial. Atak trwał przez 6 dni – uporała się z nim dopiero firma Radware.

Gdyby nie specjaliści z Radware to nie wiadomo jak długo serwis ProtonMail byłby niedostępny.

Ale nie tylko ProtonMail był ofiarą ataku DDoS w listopadzie bieżącego roku. Według podobnego scenariusza przypuszczono ataki DDoS na inne serwisy, rozsiane po całym świecie.

Potwierdzają to także wpisy na Twitter’ze i w serwisach internetowych tychże firm.

DDoS i Neomailbox

Neomailbox to szwajcarski serwis szyfrowanej poczty elektronicznej, a także usług anonimowego surfowania po Internecie.

Neomailbox komunikowało 06.11.2015r. o problemach z usługami, których powodem był atak DDoS.

The Neomailbox website is currently offline due to the DDoS attack. We are working with our data center and Swiss authorities to restore…

— Neomailbox (@neomailbox) listopad 6, 2015

Neomailbox, podobnie jak ProtonMail, także zdecydowało nie poddawać się szantażystom.

…full service as soon as possible. We will absolutely NOT negotiate with criminals or pay the ransom demanded. While we are doing all… — Neomailbox (@neomailbox) listopad 6, 2015

Na koniec drugiego dnia Neomailbox poinformowało, że ich administratorzy uporali się z atakiem DDoS. Nie podano do wiadomości jakich metod użyto do odparcia ataku.

DDoS i VFEmail

VFEmail to  serwis poczty elektronicznej z kodowaniem zawartości.

Serwis VFEmail, to kolejna firma, która odczuła działalność Armada Collection w listopadzie 2015r. Początkowo potraktowali to jako „dzieciny wybryk”. W ich wypadku atak DDoS zaczął się 03.11.2015r., jednak dopiero dzień później komunikowali:

Yesterday we were hit by a DDOS from some script kiddie extortion. Looks like they’re doing it again now – sorry for the downtime 🙁

— VFEmail.net (@VFEmail) listopad 4, 2015

Dzień później VFEmail informował, że atak DDoS wciąż trwa.

Sorry folks – We’re still under DDOS attack 🙁 Please don’t let this encourage you to support weak encryption. — VFEmail.net (@VFEmail) listopad 5, 2015

W kolejnych wiadomościach podawano informację, że dotychczasowe zabiegi administratorów hostingu jak i providerów internetowych nie przynoszą rezultatów.

Na niewiele się zdały działania administratorów, migracje adresów IP czy zmiany portów. W dniu 12.11.2015r. pojawiają się kolejne komunikaty o ataku DDoS wygenerowanym przez Armada Collection.

Armada attacking, AGAIN. (so much for their „we’re sorry” email). At this point I may just throw in the towel. @iblametom @gcluley

— VFEmail.net (@VFEmail) listopad 12, 2015

Armada has attacked AGAIN. Anti-DDOS VPS is suspended due to attacks. I can’t stay ahead of them. Sorry everyone. 🙁 — VFEmail.net (@VFEmail) listopad 12, 2015

Można powiedzieć „Żarty się kończyły” – atak DDoS przybrał na sile i osiągał momentami 200Gbps i 495 milionów pakietów na sekundę.

Attacks against @VFEmail return this time only bigger. Nearing 200Gbps pic.twitter.com/iRZI4UbyuI

— Tucker Preston (@optucker) listopad 14, 2015

Worlds biggest TCP flood? Perhaps. 494 million packet per second flood towards @VFEmail #Mitigated pic.twitter.com/L22C22I2AX — Tucker Preston (@optucker) listopad 17, 2015

Firma VFEmail.net nie komunikuje szczegółów poradzenia sobie z atakiem DDoS. Jedyne co zamieszczono to podziękowania dla Tucker Preston, za pomoc w tych trudnych chwilach i rozwiązanie problemu ataku DDoS.

A to nie ostatni serwis mailowy, który doświadczył w listopadzie 2015r. ataków DDoS.

DDoS i Hushmail

Hushmail to także provider szyfrowanej poczty elektronicznej, który siedzibę ma w Kanadzie. Świadczą usługi zarówno dla klientów indywidualnych jak i biznesowych.

5.11.2015r. administratorzy serwisu Hushmail.com zaobserwowali problemy w działaniu ich usług.

We’re working to resolve an active service outage. We’ll post updates to https://t.co/SCphTjFAdb as more information becomes available.

— Hushmail (@hushmail) listopad 5, 2015

Na drugi dzień wciąż występowały problemy z serwisem, o czym provider informował na Twitterze:

We’re working to resolve an active service outage. We’ll post updates to https://t.co/SCphTjFAdb as more information becomes available. — Hushmail (@hushmail) listopad 6, 2015

7.11.2015r. podano do wiadomości, co jest powodem problemów z usługą poczty – atak DDoS:

Sat. Nov 7, 6:15 PM Pacific Time: Some services are unavailable due to a continued denial-of-service attack.

Dwa dni później na Twitterze pojawia się informacja, że atak wciąż trwa:

Email delivery (incoming and outgoing) is delayed at the moment due to ongoing DDoS attacks. We’ll post updates on https://t.co/521psxssRI

— Hushmail (@hushmail) listopad 9, 2015

11.11.2015r. nikt nie miał wątpliwości, że to nie koniec ataku DDoS. Na stronie Hushmail.com pojawia się wpis o ciągłej walce z atakiem DDOS, który dezorganizuje serwis:

Wed. Nov 11, 7:45 PM Pacific Time: We’re experiencing a service outage as a result of the ongoing DDoS incidents. We’re working to bring services back online as quickly as possible.

Provider w krótkim oświadczeniu z dn. 6.11.2015r.  – z początku ataku DDoS – potwierdza, że za atakiem DDoS stoją szantażyści. Praktycznie w każdym przypadku hakerzy przesłali swoje żądania. Ponadto bardzo lakonicznie powiedziano fakt zgłoszeniu ataku do odpowiednich władz. Jednak Hushmail.com nie komentuje, w jaki sposób poradził sobie z atakiem, co może sugerować iż zarząd ugiął się i zapłacił szantażystom.  

DDoS i Fastmail

Hushmail.com nie był ostatnią ofiarą ataków DDoS na providerów poczty feralnego listopada 2015r. Fastmail.com to australijski serwis poczty elektronicznej. Administratorzy serwisu Fastmail.com w dn. 8.11.2015r. poinformowali o problemach z usługą. Jeszcze tego same dnia wiadomo było co jest tego powodem – atak DDoS. 

A large-scale DDOS briefly took out some systems before we mitigated it. All services now running fine. https://t.co/SEdpgSx7lB — FastMail (@FastMailFM) listopad 8, 2015

Kolejny dzień nie przyniósł zmian. Atak DDoS blokował usługi providera. Jedyne co mógł Fastmail zrobić, to informować swoich klientów o przyczynie problemów.

Another DDoS, now mitigated. We’re continuing to monitor the situation. https://t.co/SEdpgSx7lB

— FastMail (@FastMailFM) listopad 9, 2015

W przypadku FastMail podjęto natychmiast działania i ataki DDoS w kolejnych dniach tylko na chwilę destabilizowały usługę.

Looks like another DDoS attack, lasting 11 minutes, which was successfully mitigated. We’re monitoring the situatio… https://t.co/SEdpgSx7lB — FastMail (@FastMailFM) listopad 13, 2015

Kolejne ataki DDoS zostały odparte, o czy informowani byli klienci.

Provider nie komentuje ataków, poinformował jedynie lakonicznie, że zawiadomił rządowy CERT Australii oraz że posiadają odpowiednie systemy do mitigacji ataków DDoS. Wprawdzie przez 2 dni serwis miał duże problemy z działaniem, to kolejnego dnia problemy były sporadyczne, co potwierdzałoby dość dobre przygotowanie providera do odpierania ataków DDoS.

A to wciąż nie koniec listy firm, które doświadczyły „Czarnego DDoS-owego listopada”.

DDoS i ZOHO

Kolejnym był ZOHO – bardzo znany serwis mi. poczty elektronicznej, ale także CRM i wielu innych usług. Firma ZOHO zatrudnia blisko 3.500 ludzi na całym świecie i świadczy usługi dla ponad 15 milionów klientów z całego świata.

04.11.2015r. klienci serwisu ZOHO zaobserwowali problemy z usługami. Kolejnego dnia serwis zawiadamiał o ataku DDoS:

We experienced a DDoS cyber attack Nov 4 impacting services, since restored. We’re monitoring the 10 min interruption today. Our apologies.

— Zoho (@zoho) listopad 5, 2015

07.11.2015r. firma postanowił szerzej skomentować problemy w działaniu swojego serwisu:

A detailed note about the service disruption this week. We’re working on bringing you further updates as we tweet. pic.twitter.com/SS72ryJn5V — Zoho (@zoho) listopad 7, 2015

Kolejnego dnia nie było złudzeń. Atak DDoS wciąż trwał:

Our services continue to see disruption from time to time. We appreciate your understanding and patience.

— Zoho (@zoho) listopad 8, 2015

9.11.2015r także nie przyniósł znaczącej poprawy. Atak DDoS masakrował serwis.

Services are up and down as we react to the recent attack with configuration changes. Some services are available, others are not. — Zoho (@zoho) listopad 9, 2015

Update – We have partially restored services and are working on the rest.

— Zoho (@zoho) listopad 9, 2015

Kolejny dzień nie przyniósł dobrych wiadomości dla użytków ZOHO.

Thanks for being patient while we mitigate the attack on our services. Here’s the latest update on the situation. pic.twitter.com/2PkBs1ihCV — Zoho (@zoho) listopad 10, 2015

„Światełko w tunelu” pojawiło się dopiero 11.11.2015r – po blisko tygodniu walki z atakiem DDoS.

The DDoS protections we put in place had the side-effect of affecting mail delivery. We found them and sorted them out. Mail should work.

— Zoho (@zoho) listopad 11, 2015

Ostateczny sukces w walce z atakiem DDoS firma ZOHO ogłosiła następnego dnia. Provider nie komentuje sposobu poradzenia sobie z atakiem DDoS, jedno jest pewne – atak nazwano KRYMINALNYM, co potwierdzałoby fakt próby wymuszenia haraczu przez przestępczą grupę hakerską. Dane ze strony status ZOHO potwierdzają, że w powyższych dniach ze świadczonymi usługami był „kompleksowy” kłopot.

A to nie ostatnia ofiara listopadowych ataków DDoS na serwisy poczty elektronicznej.

DDoS i Runbox

Runbox.com to norweski serwis kodowanej poczty elektronicznej. W listopadzie, także administratorzy Runbox.com mieli pełne ręce roboty.

4.11.2015r. klienci Runbox.com zaczęli zgłaszać problemy z usługą.

We are currently experiencing a mail queue and there is a delay in delivering mail. The queue is reducing. Apologies for the inconvenience. — Runbox (@Runbox) listopad 4, 2015

Parę godzin później provider powiadomił o ataku DDoS na swój serwis.

New post: Runbox under DDoS Attack https://t.co/p0ddSn8RZv

— Runbox (@Runbox) listopad 4, 2015

Opis sytuacji na firmowym blogu nie pozostawiał wątpliwości. Atak to jedynie zapowiedź kłopotów. Firma otrzymała żądanie okupu, a przedsmakiem był 34Gbps atak DDoS.

Podobnie jak wcześniejsze ofiary, Runbox zawiadomił rządową agencję zajmującą się cyberprzestępcznością – w tym wypadku była to NorCERT (norweski, rządowy zespół ds. incydentów w sieci) oraz Økokrim (urząd ds. ścigania przestępczości gospodarczej oraz zanieczyszczeń środowiska).

Kolejnego dania administratorzy monitorowali sytuację. Najpierw zarejestrowana krótkie ataki DDoS o wielkości 2-3 Gbps. Wieczorem jednak nastąpił impakt wielkości 42Gbps. Ten atak DDoS nie zaburzył działania systemów providera.

Kolejny atak DDoS nastąpił parę godzin później i osiągnął 50Gbps. Administratorzy Runbox.com stopniowo wyłączali usługi, z uwagi na problemy z coraz bardziej wyrafinowanym atakiem DDoS.

Dopiero nad ranem kolejnego dnia poczta elektroniczna ponownie zaczęły normalnie funkcjonować.

Co ciekawe, podobnie jak w przypadku ProtonMail, atakujący mocno tłumaczyli się, że nie każdy z przeprowadzonych ataków był ich działaniem. Nie potrafili wytłumaczyć kto i dlaczego dokonywał ataku DDoS.

Na drugi dzień nie zaobserwowane kolejnych ataków DDoS, pomimo tego że provider nie uległ żądaniom szantażystów. Nawet wydał specjalne oświadczenie, że będzie ulegał szantażom – co potwierdza kryminalny charakter ataków DDoS.

Podumowanie

Ilość ataków DDoS w listopadzie pokazała, że w Internecie działa parę zorganizowanych grup hakerów, które posiadają spore możliwości w zakresie generowania ataków DDoS – największy zarejestrowany miał 200 Gbps.

Brak jest na dzisiaj komentarzy czy to była tylko zorganizowana akcja Armada Collection i jakiejś bliżej nieznanej grupy, który podszywała się pod część z tych ataków – przeprowadzając kolejne duże, wielowektorowe ataki DDoS. Czy też była to akcja paru grup hakerskich, w żaden sposób niepowiązanych ze sobą.

Jedno jest pewne. Wszystkie ataki miały miejsce na początku listopada 2015r. Zaatakowano serwisy z każdego zakątka świata: poczynając od Stanów Zjednoczonych, przez Kanadę i Australię, kończąc na Norwegii czy Szwajcarii.

Komunikacja to podstawa

Z doświadczeń wyżej wymienionych firm wynika jasno. Warto komunikować do swoich klientów o problemach z usługami – zwłaszcza, gdy powodem jest przestępcza działalność grup hakerskich. Praktycznie każdy z providerów dziękował swoimi klientom, że nie opuścili ich w tak trudnych chwilach, a pod każdym wpisem pojawiało się sporo komentarzy klientów (większość pozytywnych lub z pomysłami zaradzenia problemowi).

Ciekawy jest przykład ProtonMail – w ich wypadku miała miejsce społeczna zbiórka pieniędzy, na wykupienie komercyjnej usługi ochrony przed atakami DDoS. W ramach tej akcji zebrano wymaganą kwotę blisko 50tys. USD, za którą kupiono ochronę przed tak dużym i skomplikowanym atakiem DDoS – na cały rok.

Procedury, procedury, procedury

Nie ulega wątpliwości, że firmy które nie były przygotowane na takie ataki DDoS potrzebowały co najmniej tygodnia, aby poradzić sobie z przywróceniem swoich serwisów.

Praktycznie w każdym przypadku działania administratorów serwisów, administratorów usług hosting, a nawet administratorów sieci ISP, nie wystarczały do odparcia wielowektorowanych, wolumetrycznych ataków DDoS. Problemem był nie tylko wolumen niechcianego ruchu, ale także duża komplikacja samej metody ataków DDoS.

Wszystkie opisane przypadki potwierdzają zaangażowanie rządowych CERT oraz rządowych instytucji ścigania przestępstw w cyberprzestrzeni.

Wniosek z wszystkich przypadków jest jednoznaczny: brak analizy problemów ataków DDoS i procedur postępowania w przypadku dużych ataków DDoS, skutkuje długotrwałym niedostępnością serwisu.

Tylko dzięki wzorowej komunikacji z Klientami oraz ich wyrozumiałości, providerzy nie odnotowali znaczących strat finansowych w postaci odpływu klientów. Pytanie czy przy częstszych incydentach związanych z DDoS i nieodstępnością usług, decyzje klientów nie okazałyby się całkiem inne.

W gronie specjalistów wciąż trwają dywagacje nie tylko co do „dziwnych ataków DDoS”, do których nie przyznawała się Armada Collection. Dającym do myślenia jest także fakt, że na cel wzięto serwisy szyfrowanej poczty elektronicznej. Ale to już ciekawy temat dla wszelkich „spiskowych teorii dziejów”, którzy uważają że była to zaplanowana akcja … (tylko „kogo?” i „po co?”). Wiele hipotez próbuje łączyć te ataki DDoS z późniejszymi atakami terrorystycznymi w Paryżu – jednak jak na razie są to tylko zwykłe dywagacje.