DDoS-napad na ProtonMail vztrajal tudi po plačilu odkupnine

Matej Huš

6. nov 2015 ob 18:10:57

Švicarski ProtonMail, ki ga je ustanovilo nekaj znanstvenikov iz CERN-a in je namenjen pošiljanju varne šifrirane elektronske pošte, je bil tarča sofisticiranega DDoS-napada, ki ni pojenjal niti po plačilu odkupnine. Napad na ProtonMail se je pričel 3. novembra in je prvi dan trajal 15 minut, potem pa so napadalci poslali elektronsko sporočilo, v katerem so zahtevali plačilo 15 bitcoinov, sicer bi napad ponovili v razširjeni različici.

ProtonMail sprva ni plačal in naslednji dan dopoldne je sledil daljši napad, ki je povzročil nemalo škode strankam. Začel se je ob 11. uri in do 14. ure napredoval do obsega 100 gigabitov na sekundo. Zanimivo je bilo dejstvo, da niso napadali le strežnikov ProtonMaila, temveč tudi infrastrukturo v Zürichu in Frankfurtu, ki jo uporablja njihov ponudnik dostopa do interneta. Zaradi tega je imelo težave z internetno povezljivost tudi več sto drugih strank istega ponudnika internetne povezave. Koordiniran napad na strežnike podjetja in infrastrukturo ISP-ja je nenavaden in kaže na zelo sposobne napadalce, ugotavljajo v ProtonMailu.

Ker se napad ni unesel, so ob 15.30 uri popustili in nakazali 15 bitcoinov na naslov, ki so ga posredovali napadalci. Tudi napad vseeno ni popustil, temveč je trajal še ves dan. Incident že preiskujejo švicarska policija, švicarski CERT in posebna enota za boj proti internetnemu kriminalu (CYCO), sodeluje pa tudi Europol. Sklepajo, da sta napadalca dva. Prvi napad je izvedla skupina Armada Collective, ki je znana izsiljevalska skupina, medtem ko je drugi, bistveno boj sofisticiran napad izvedla neznana, verjetno z vojsko povezana entiteta.

ProtonMail je sprejel nekaj ukrepov za preprečitev in blažitev tovrstnih napadov v prihodnosti, kar jih bo stalo precej denarja. Ocenjujejo, da vsaj 100.000 dolarjev letno. Odprli so tudi sklad, v katerem bodo zbirali denar v ta namen. Sumijo namreč, da je napad motiviralo njihovo poslanstvo - nudenje šifriranega elektronskega predala, zato upravičeno pričakujejo ponovitve. Zagotavljajo pa, da so napadalci le začasno omogočili stran, niso pa dobili nobenih podatkov ali je kako drugače prizadeli.