Информационный портал VRK News

Хакеры Armada Collective сломали защиту самого крепкого почтового сервиса мира

Создано: 07.11.2015 | 15:07
Обновлено: 16.11.2015 | 18:24
Категории: Терроризм, Digital, ЧП, Происшествия, Интернет, Лента новостей
Ключевые слова: Сноуден Эдвард

Атака на ключевую инфраструктуру вывела из строя дата-центр и системы провайдера, что затронуло не только Protonmail, но и сотни других организаций. Компании ничего не оставалось, как выплатить выкуп

Швейцария — 07.11.2015 | 15:07 — VRK News

Для начала поговорим о свежей статистике. «Лаборатория Касперского» представила отчет о DDoS-атаках в третьем квартале 2015 года. Некоторые цифры отчета удивляют: к примеру, ботнеты из машин, работающих на базе Linux, набрали ощутимую силу. Инфицированные XOR DDoS устройства в третьем квартале 2015 года сгенерировали 45,6% всего DDoS-трафика.

Общие итоги квартала выглядят следующим образом:

  • В третьем квартале 2015 года DDoS-атакам подвергались цели, расположенные в 79 странах мира.
  • 91,6% атакованных ресурсов были расположенные в 10 странах мира.
  • Китай, США и Республика Корея остаются лидерами как по количеству зафиксированных атак, так и количеству жертв, страдающих от DDoS-атак.
  • Наиболее продолжительная DDoS-атака в третьем квартале 2015 года продолжалась 320 часов (13,3 дней).
  • Самыми популярными методами атаки по-прежнему остаются SYN-DDoS, TCP-DDoS и HTTP-DDoS.
  • Linux-боты активно используются киберпреступниками, доля DDoS-атак с ботнетов на основе ОС Linux в третьем квартале составила 45,6%.

За три месяца было зафиксировано два пика DDoS-атак: первый пришелся на середину июля, второй — на конец сентября, именно в последний период прошла мощная серия атак на российские банки. Самым «жарким» днем стало 24 сентября: за сутки произошло 1344 атаки. Заметно выросло количество атак, которые длились неделю или дольше, а прошлый рекорд по продолжительности атаки в 205 часов (8,5 дней) был побит в этом квартале атакой, длившейся 320 часов (13,3 дня).

В свою очередь, компания Incapsula, специализирующаяся на информационной безопасности, зафиксировала резкий рост DDoS-атак в 3 квартале 2015 года. В среднем эксперты регистрировали 129 инцидентов в сутки, что на 116% превышает показатель 2 квартала, следует из отчета компании. Компанией оттмечается, что DDoS-атаки свыше 100 Гбит/с стали повседневным явлением. Наиболее мощная атака сетевого уровня на пике показала 260 Гбит/с, на уровне приложений – 268,8 тыс. запросов в секунду. Кроме того, вдвое увеличилась продолжительность атак на уровне приложений – 14,6% атак длились более 12 часов. В то же время длительность атак сетевого уровня, наоборот, снизилась. Только 4% инцидентов продолжались более 3 часов.

Хотя количество многовекторных атак уменьшилось (38,5% против 43,8% во 2 квартале), возросла их сложность. В некоторых случаях в ходе одной атаки злоумышленники использовали 8-9 векторов.

Так же, как и во 2 четверти 2015 года, наибольшее количество «мусорных» пакетов генерировалось ботами, размещенными на территории Китая (37,5%). Целевыми для атакующих являлись web-сайты, расположенные в США и Азиатско-Тихоокеанском регионе (45,8% и 40,7% трафика соответственно).

Эксперты отмечают еще один тренд – возвращение ботов-имперсонаторов Baidu, число которых значительно снизилось во 2 квартале 2015 года. По мнению специалистов Incapsula, вероятнее всего, это связано с ростом DDoS-атак, осуществляемых из Китая.

Возвращаясь к ботнету из Linux-машин: компания Akamai Technologies зафиксировала рост мощностей DDoS-ботнета, состоящего из Linux-компьютеров. Злоумышленники особенно активно атаковали китайские сайты образовательных учреждений и игровых сообществ. Особенностью бота является использование XOR-шифрования как в самой вредоносной программе, так и для коммуникаций C&C-серверами. При этом для своего распространения бот использует брутфорс паролей от учетной записи root в Linux-системах.

Для проведения массовой рассылки спама и так называемых DDoS-атак, злоумышленники заражают компьютеры множества пользователей, чтобы объединить их в ботнет. Для примера можно ознакомиться с инфографикой от лаборатории Касперского, благодаря которой вы узнаете, что такое ботнет и как зараженные вирусами компьютеры объединяются в зомби-сети.

Еще одна достаточно необычная атака была зафиксирована специалистами компании CloudFlare. Одного из клиентов компании подвергся атаке, чья  суммарная мощность составила 275 000 HTTP-запросов в секунду. Для достижения такого эффекта злоумышленники задействовали вредоносный JavaScript, внедренный в рекламу. Iframe с вредоносной рекламой, содержащей JavaScript, запускался в браузерах многочисленных пользователей, и в результате рабочая станция пользователя начинала отправлять XHR-запросы жертве. Эксперты полагают, что подобную вредоносную рекламу могут отображать и некоторые легитимные приложения.

Больше других от DDoS-атак в третьем квартале страдал Китай. 

Примечательно, что на этом фоне буквально на этой неделе крупнейший швейцарский почтовый сервис Protonmail (см. Википедию, потому что родной сайт супер-пупер-почтовика на данный момент не открывается, вероятно из-за продолжающейся DDoS-атаки) также стал жертвой DDoS-атак, из-за чего его операторы были вынуждены выплатить злоумышленникам выкуп в размере 15 биткоинов (около 384 тыс. руб.). Во вторник, 3 ноября, администрация Protonmail получила электронное письмо с требованием выплатить деньги, иначе на сайт будет осуществлена атака. Операторы ресурса проигнорировали его, и вскоре их сервер был атакован и выведен из строя на 15 минут. На второй день злоумышленники осуществили на Protonmail намного более мощную атаку, и компании потребовались немалые усилия для того, чтобы ей противостоять.

По словам представителей почтового сервиса, координированная атака на ключевую инфраструктуру вывела из строя дата-центр и системы провайдера, что затронуло не только Protonmail, но и сотни других организаций. Компании ничего не оставалось, как выплатить выкуп. Тем не менее, злоумышленники не остановили атаку. 

Напомним, что ProtonMail — это почтовый сервис, созданный специалистами по сетевой безопасности и CERN. Цель — запуск в роботу почтовика, который был бы полностью защищен от влияния разведслужб любой страны. Еще в мае прошлого года на Хабре появилась новость о том, что несколько сотрудников Европейской лаборатории по ядерным исследованиям (ЦЕРН) создали почтовый сервис ProtonMail. Этот почтовый сервис — один из наиболее защищенных в мире. К примеру, вся информация шифруется еще на стороне клиента, а все серверы сервиса располагаются на территории Швейцарии. 

В этой стране очень сложно, если вообще возможно, получить доступ к чьей-либо частной информации. В общем, сервис может превзойти закрывшийся не так давно Lavabit, которым пользовался Эдвард Сноуден, о чем на Хабре тоже писали. Для авторизации пользователя на ProtonMail используется двухфакторная аутентификация, с двумя паролями. Один пароль используется для входа в собственный аккаунт, а также для получения собственных данных в зашифрованном виде. Второй пароль дает доступ к ключу шифрования, при помощи которого вся информация приводится в читаемый вид. При этом второй пароль нельзя восстановить — служба поддержки ничем не поможет в случае утери пароля.

Как сообщила помогавшая Protonmail швейцарская Компьютерная группа реагирования на чрезвычайные ситуации (CERT), ответственность за инцидент лежит на Armada Collective.Напомним, что в конце прошлого месяца эта хакерская группировка вымогала выкуп у клиентов компании Qrator Labs, которая специализируется на противодействии DDoS-атакам. Злоумышленники требовали у жертв выплатить выкуп в размере 30 биткоинов, в противном случае их сайты будут атакованы.

По данным CERT, на прошлой неделе жертвами Armada Collective стал целый ряд швейцарских компаний. Эксперты уверены, что пострадавшие не должны платить преступникам, а пытаться вместе с провайдерами найти лучшие способы защиты от атак. Protonmail намерен заключить контракт с компанией, занимающейся защитой от киберугроз, однако это обойдется сервису в немалую сумму. Для того чтобы собрать необходимые $100 тыс., операторы сайта запустили фандрайзинговую кампанию.  



© 2018 Информационное агентство VRK News. Все права защищены.
Обязательное условие использования информационных материалов – размещение активной гиперссылки на сайт (http://vrk.news) как на первоисточник. Активная гиперссылка на сайт должна быть указана в первом или втором предложениях.

Подписка на новости

Контакты

+7 (7172) 251-394
news@vrk.kz
Информационное агентство «VRK News». Свидетельство о регистрации СМИ №15632-ИА выдано Комитетом связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан 04.11.2015 г.
Редакция не несет ответственности за достоверность информации, содержащейся в рекламных объявлениях.
Яндекс.Метрика