Security Week 08: взлом VFEMail в прямом эфире

Security Week 08: взлом VFEMail в прямом эфире
Новости о серьезных уязвимостях в софте и железе появляются каждую неделю. Только за последние семь дней сообщалось об эксплуатации XSS в социальной сети «Вконтакте», об устранении Zero-Day в Windows, а чуть раньше был закрыт баг в Android, позволяющий взламывать телефон подготовленной картинкой в формате PNG. Но мы довольно редко видим последствия эксплуатации этих уязвимостей: пострадавшие компании по понятным причинам не спешат делиться такой информацией. Еще реже можно наблюдать последствия атаки практически в прямом эфире, что на прошлой неделе произошло с почтовым сервисом VFEMail.

Этот сервис был основан в 2001 году жителем США, и с тех пор обслуживал частных клиентов (бесплатно предлагал всего 50 мегабайт места для писем) и организации на их собственных доменах. В 2015 году он упоминался наряду с сервисом защищенной почты ProtonMail как жертва вымогателей — владелец сервиса цитировал требование организаторов DDoS-атаки выплатить пять биткойнов. 11 февраля без предварительных угроз злоумышленники стерли информацию на всех основных и резервных серверах VFEMail, буквально за несколько часов уничтожив бизнес компании почти полностью.

В списке тарифов почтового сервиса самая дорогая опция предлагает 15 гигабайт (в другом месте сайта 20, показания расходятся) за 50 долларов в год — столько же, сколько Google Mail дает бесплатно. Либо однократный платеж в 25 долларов за 1 гигабайт почты навсегда. Принимается оплата в криптовалюте. VFEMail не позиционирует себя как защищенная почта, предлагая достаточно стандартные опции вроде фильтрации спама, проверки аттачей на вирусы и доступа из почтовых программ. И еще: «Мы не читаем ваши письма, чтобы продавать вам рекламу».

В общем, это была такая почта для тех, кто сто лет назад завел почтовый ящик и с тех пор ленится переехать куда-то еще. Вполне работающая схема, если бы не события 11 февраля. Все началось с этого сообщения в Твиттере почтового сервиса: владелец заметил, что у него серьезные проблемы.

75b9de21b5fa0f3b51d9fd0ba2d4bbd6.png
Еще через два часа на одном из серверов владелец вживую увидел, как злоумышленник стирает данные:

a7292e5d6218fecc415a24174eb0e653.png
Почтовый сервис был атакован с болгарского IP, скорее всего с арендованной виртуальной машины. Еще через несколько минут стало понятно, что это был не единственный атакованный сервер:

54231bef68f433984ca530c57bb94d90.png
Спустя час основатель сервиса диагностирует, вероятно, полную потерю всех данных пользователей:

6d4e0e4a8e9d8908713afa9fe082a240.png
Были атакованы сразу несколько серверов на разных площадках в разных странах. По словам владельца VFEMail, на серверах использовались разные способы и ключи авторизации, и тем не менее они были взломаны, с последующим уничтожением данных, практически одновременно. Через неделю даунтайма владельцу сервиса удалось восстановить один из серверов с данными по 2016 год:

722fea38503a6a61dbf46f4953a628ad.png
В комментарии сайту Bleeping Computer основатель и единственный владелец почтового сервиса Рик Ромеро сообщил, что угроз от кого-либо не получал, в отличие от ситуации с DDoS-атакой в 2015 году. Скорее всего, сервис восстановлен не будет, хотя позднее клиентам все же была обеспечена возможность принимать и отправлять почту, без доступа к архивным сообщениям за последние два с лишним года. Журналист Брайан Кребс в своем блоге приводит свидетельство корпоративного клиента VFEMail: десять лет почтовой переписки и более 60 тысяч сообщений было потеряно.

Интересно, что на сайте VFEMail приводился аргумент в пользу стороннего почтового сервиса по сравнению с собственной почтой: так надежнее, обо всех настройках безопасности уже позаботились, и вам не нужно принимать входящие подключения в своей собственной сети.

Все аргументы правильные, хотя в итоге «профессиональный» сервис пережил вполне пользовательскую катастрофу — когда уничтожена вся «включенная в сеть» инфраструктура и, скорее всего, отсутствуют оффлайновые резервные копии. В комментарии выше владелец сервиса приводит еще один довод в пользу отказа от восстановления: даже до взлома почтовая служба не была особо прибыльной. Удар по репутации, затраты на восстановление инфраструктуры, и главное — расходы на последующее резервирование данных и дополнительные средства защиты сделают бизнес и вовсе убыточным.

В некотором смысле — жаль. VFEMail появился на закате романтической эпохи Интернета, когда нынешние гиганты представляли собой гаражные стартапы с наверняка похожим уровнем безопасности. Дальнейшее развитие кибератак сделало расходы на защиту неподъемными для всех, кто не успел стать достаточно большим. Хотя мы пока не знаем, как именно удалось взломать почтовый сервис (а возможно, не узнаем никогда), эта история — печальный пример, когда компания оказывается не готова ни отразить кибератаку, ни преодолеть ее последствия. И если с первым пунктом проблемы бывают и у крупнейших компаний, невозможность восстановиться после киберудара — это как раз та ситуация, которую стоит избегать всеми силами.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!