Десятки крупных финансовых и телекоммуникационных компаний оказались затронуты подозрительным манипулированием трафика со стороны Ростелекома

26 апреля большие массивы сетевого трафика, принадлежащие MasterCard, Visa и более чем двум десяткам других компаний, предоставляющих в большей степени различные финансовые услуги при необъяснимых обстоятельствах были направлены через контролируемый российским правительством телекоммуникационный канал.

Аномалии в протоколе BGP (Border Gateway Protocol, протокол граничного шлюза), который маршрутизирует большие объемы трафика между интернет-магистралями, интернет-провайдерами и другими крупными сетями, чаще всего возникают в результате человеческой ошибки.

Инцидентом заинтересовались инженеры службы сетевого мониторинга BGPmon, которые опубликовали список организаций, сети которых оказались затронуты:

Below the list of affected networks (other Rostelecom networks excluded)

AS Autonomous System Name 49002Federal State Unitary Enterprise Russian3561Savvis41268LANTA Ltd2559Visa International8255Euro-Information-Europeenne de Traitemen31627Servicios Para Medios De Pago S.A.701MCI Communications Services, Inc. d/b/a3259Docapost Bpo SAS3303Swisscom (Switzerland) Ltd3741IS5553State Educational Institution of Higher5630Worldline SA8291The Federal Guard Service of the Russian8677Worldline SA9162The State Educational Institution of Hig9221HSBC HongKong9930TIME dotCom Berhad11383Xand Corporation12257EMC Corporation12578SIA Lattelecom12954SIA S.p.A.1546838, Teatralnaya st.15632JSC Alfa-Bank15742PJSC CB PrivatBank15835ROSNIIROS Russian Institute for Public N15919Servicios de Hosting en Internet S.A.18101Reliance Communications Ltd.DAKC MUMBAI25410Bank Zachodni WBK S.A.26380MasterCard Technologies LLC28827Fortis Bank N.V.30060VeriSign Infrastructure & Operations34960Netcetera AG35469Ojsc Bank Avangard50080Provus Service Provider SA50351card complete Service Bank AG61100Norvik Banka AS200163Itera Norge AS

 

Способ перенаправления некоторых затронутых сетей показал, что их базовые префиксы были вручную вставлены в таблицы BGP. Эксперты из BGPmon заявляют, что это мог сделать кто-то из «Ростелекома», контролируемой российским правительством телекоммуникационной компании, которая неправильно объявила о своей собственности на блоки.

«Я бы классифицировал это как весьма подозрительное. Типичная причина этих ошибок — это своего рода внутренняя транспортная инженерия, но было бы странно, что кто-то ограничил бы их трафик в основном финансовыми сетями», — сказал Дуг Мадори, директор по интернет-анализу в компании по управлению сетью Dyn, передает Ars Technica.

Обычно сетевой трафик, связанный с MasterCard, Visa и другими пострадавшими компаниями, проходит через поставщиков услуг, которые компании нанимают и авторизуют. Используя таблицы маршрутизации BGP, авторизованные поставщики «объявляют своими» большие блоки IP-адресов, принадлежащих компаниям-клиентам. Однако в среду 26 апреля днем около 3:36 по тихоокеанскому времени, Ростелеком внезапно объявил о своем контроле над блоками. В результате трафик, поступающий в затронутые сети, начал проходить через маршрутизаторы Ростелекома. “Угон” длился пять-семь минут. Когда все было закончено, нормальная маршрутизация была восстановлена. Событие прекрасно отражено в графике.

Угон мог позволить неким людям в России перехватывать или манипулировать трафиком, поступающим в данное адресное пространство. Такой перехват или манипулирование было бы легче всего выполнить для данных, которые не были зашифрованы, но даже в случаях, когда они были зашифрованы, трафик все равно может быть расшифрован с использованием атак с такими именами, как Logjam и DROWN, которые работают против устаревших реализаций безопасности транспортного уровня, используемых некоторыми организациями.

Мадори обратил внимание, что даже если данные не могут быть дешифрованы, злоумышленники могут потенциально использовать переадресованный трафик, чтобы определить, какие стороны инициировали подключения к MasterCard и другим затронутым компаниям. Нападавший может затем напасть на те стороны, которые могут иметь более слабую защиту.

Должностные лица «Ростелекома» не ответили на запрос по электронной почте с просьбой прокомментировать данный инциндент.

Как Мадори, так и эксперты BGPmon оставляют открытой возможность того, что угон был непреднамеренным.

Случаи намеренного же перенаправления трафика BGP случались и ранее. В 2013 году Renesys, позднее приобретенный Dyn, сообщил, что огромные порции интернет-трафика, принадлежащие финансовым учреждениям, правительственным учреждениям и поставщикам сетевых услуг, неоднократно перенаправлялись в отдаленные районы, прежде чем, наконец, были переданы в их конечный пункт назначения. За девятимесячный период исследователи Renesys подсчитали 38 отклонений в маршрутизаторах белорусских или исландских поставщиков услуг. Эти хаки повлияли на «крупные финансовые учреждения, правительства и поставщиков сетевых услуг» в США, Южной Корее, Германии, Чехии, Литве, Ливии и Иране.

Справка:
BGP (англ. Border Gateway Protocol, протокол граничного шлюза) — динамический протокол маршрутизации. Относится к классу протоколов маршрутизации внешнего шлюза (англ. EGP — External Gateway Protocol).На текущий момент является основным протоколом динамической маршрутизации в сети Интернет. Протокол BGP предназначен для обмена информацией о достижимости подсетей между автономными системами (АС, англ. AS — autonomous system), то есть группами маршрутизаторов под единым техническим и административным управлением, использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие АС. Передаваемая информация включает в себя список АС, к которым имеется доступ через данную систему. Выбор наилучших маршрутов осуществляется исходя из правил, принятых в сети