ProtonMail เปิดเผยกระบวนการ และกล่องมหัศจรรย์ที่ช่วยป้องกัน DDoS จนกลับมา Online ได้ตามปกติ

หลังจากที่ทีมงาน ProtonMail ถูกโจมตี DDoS อย่างต่อเนื่องจนมีบางช่วงที่ Traffic สูงเกินกว่า 100Gbps และไม่สามารถให้บริการผู้ใช้งานได้เลยนั้น ทาง ProtonMail ก็ได้พยายามแก้ไขทุกวิถีทางจนในวันที่ 6 ก็สามารถแก้ไขปัญหาและเอาชนะผู้โจมตี DDoS ได้เป็นผลสำเร็จ ทาง ProtonMail ได้ออกมาบอกว่าจะเปิดเผยข้อมูลเหตุการณ์และวิธีการแก้ไขปัญหาทั้งหมดในภายหลัง ซึ่งตอนนี้ทาง ProtonMail ก็ได้เปิดเผยข้อมูลเหล่านั้นใน Blog ของบริษัทแล้ว โดยทาง TechTalkThai ขอสรุปลำดับเหตุการณ์เอาไว้ดังนี้

การทำ DDoS เกิดขึ้นโดยผู้โจมตี 2 กลุ่มต่อเนื่อง, การร่วมมือกันป้องกัน DDoS และไขปริศนา “กล่องมหัศจรรย์” ที่ช่วยหยุด DDoS

ก่อนเที่ยงคืนของวันที่ 3 พฤศจิกายน 2015 นั้น ทางทีมงาน ProtonMail ได้รับ Email เรียกค่าไถ่จากกลุ่ม Armada Collective ซึ่งเป็นกลุ่มอาชญากรไซเบอร์ที่มีชื่อเสียงจากการโจมตีหลายหน่วยงานในสวิตเซอร์แลนด์ด้วย DDoS และการโจมตีด้วยการทำ DDoS นี้ก็เริ่มต้นขึ้นในวันที่ 3 พฤศจิกายน 2015 โดยระลอกแรกนั้นทำให้ ProtonMail ไม่สามารถให้บริการได้ไป 15 นาที และมีระลอกถัดมาในเวลา 11 โมงเช้าของวันถัดมา

ในการโจมตีระลอกที่ 2 นี้ ทางผู้ให้บริการ Data Center และ Upstream Provider ต่างก็ได้เริ่มพยายามยับยั้งการทำ DDoS นี้ด้วยเช่นกัน แต่ซ้ำร้ายบ่าย 2 โมงของวันเดียวกันนั้น ทางผู้โจมตีเริ่มยกระดับการโจมตีไปถึง Infrastructure ของ Data Center และ Upstream Provider ด้วย ทำให้มี Traffic สูงเกินกว่า 100Gbps และเริ่มโจมตี Router ของ ISP พร้อมทั้งสาขาอื่นๆ ของ ISP ตามไปด้วย ซึ่งก็ทำให้บริษัทอื่นๆ อีกหลายร้อยแห่งได้รับผลกระทบไปตามๆ กัน

เวลาบ่าย 3.30 ของวันเดียวกัน จุดนี้เองที่ ProtonMail ได้รับแรงกดดันจากภายนอกเป็นอย่างมาก จนต้องยอมตัดสินใจจ่ายเงินค่าไถ่ให้แก่กลุ่ม Armada Collective ผ่านทาง Bitcoin เพื่อขอให้หยุดการโจมตีทั้งๆ ที่ทาง ProtonMail เองก็ไม่เห็นด้วย ซึ่งผลลัพธ์ก็คือการโจมตีนั้นยังไม่หยุดลง และ ProtonMail ก็ได้ออกมาแถลงว่าถัดจากนี้จะไม่มีการจ่ายค่าไถ่ให้ใครอีกเด็ดขาด

จากนั้นข้อมูลจากหน่วยงาน MELANI ซึ่งเป็นหน่วยงานของรัฐบาลสวิตเซอร์แลนด์ ก็ได้เปิดเผยข้อมูลที่บ่งชี้ว่าการโจมตีนี้มีด้วยกันสองแบบ ซึ่งแบบแรกเน้นโจมตีเฉพาะ IP Address ซึ่งเชื่อว่าเป็นฝีมือของกลุ่ม Armada Collective ที่มีเป้าหมายเพื่อการเรียกค่าไถ่ แต่การโจมตีแบบหลังนั้นมีความซับซ้อนที่สูงกว่ามาก ทำให้เชื่อได้ว่ามีผู้โจมตี 2 กลุ่มแยกขาดจากกัน ซึ่งเชื่อว่าการโจมตีแบบหลังนี้มีหน่วยงานรัฐของบางประเทศที่มีเป้าหมายเพื่อหยุดยั้งบริการของ ProtonMail ให้ได้นานที่สุด โดยไม่มีการติดต่อจากผู้โจมตีเพื่อเรียกค่าไถ่อย่างใด และทาง Armada Collective เองก็ติดต่อกลับมาหลังจากได้ค่าไถ่แล้วว่าไม่ม่ส่วนเกี่ยวข้องในการโจมตีที่ยังดำเนินต่อไป

เมื่อ ProtonMail ไม่มีทางเลือกอื่นเพื่อหยุดการโจมตีแล้ว ทางเดียวก็คือการโต้ตอบกลับด้วยความรู้และความสามารถที่มี จุดนี้เองที่บริษัท IP-MAX ผู้ให้บริการทางด้านระบบเครือข่ายได้เข้ามาช่วยเหลือ โดยภายในเวลาเพียง 18 ชั่วโมง IP-MAX ก็ช่วยทำการเชื่อมต่อ Link จาก Data Center ที่ ProtonMail ใช้งานอยู่ไปยัง PoP หลักที่ซูริคซึ่งอยู่ห่างกันถึง 114 กิโลเมตรได้สำเร็จ รวมถึงมีบริษัท Level 3 Communications ที่มาช่วยทำ IP Transit ให้อย่างฉุกเฉิน พร้อมทีมงานอีกหลายคนที่ลงมาช่วยกันจัดการปัญหานี้

นอกจากนี้ทาง ProtonMail ยังได้กล่าวว่ามีทีมงานขับรถไปรับกล่องมหัศจรรย์ที่จะช่วยแก้ไขปัญหานี้ได้ ซึ่งกล่องที่ว่านั้นก็คือระบบ DDoS Protection ของ Radware ที่มีชื่อว่า Radware DefensePipe นั่นเอง ด้วยการทำ BGP Redirection ของ Radware นี้ และความร่วมมือของ Radware ในการนำเสนอราคาที่สมเหตุสมผลที่สุดในบรรดาผู้ผลิตทุกเจ้า ซึ่งโดยปกติแล้วโซลูชั่นลักษณะนี้ในระดับที่จะปกป้อง ProtonMail ได้จะมีค่าใช้จ่ายโดยประมาณ 100,000 เหรียญดอลลาร์สหรัฐต่อปี และนี่ก็เป็นเหตุผลว่าทำไม ProtonMail จึงต้องระดมเงินมาจากการบริจาคนั่นเอง

ในที่สุดการโจมตีทั้งหมดนี้ก็ถูกยับยั้งเอาไว้ได้เป็นผลสำเร็จในวันที่ 8 พฤศจิกายนที่ผ่านมา ซึ่งเหตุการณ์นี้ก็ทำให้ทีมพัฒนาของ ProtonMail ทำงานได้ช้าลง และการออกอัพเดตใหม่เป็น ProtonMail 3.0 ภายในสิ้นเดือนนี้ก็คงต้องถูกเลื่อนออกไปก่อน

นอกจากนี้ ProtonMail ยังต้องการความช่วยเหลือและคำแนะนำในระยะยาวจากผู้เชี่ยวชาญด้านการป้องกัน DDoS โดยสำหรับผู้ที่สนใจสามารถติดต่อไปได้ที่ security@protonmail.ch ทันที

สำหรับผู้ที่สนใจข้อมูลเพิ่มเติม สามารถอ่าน Blog ฉบับเต็มของ ProtonMail ได้ด้งนี้นะครับ https://protonmail.com/blog/protonmail-ddos-attacks/