26 апреля большие массивы сетевого трафика, принадлежащие MasterCard, Visa и более чем двум десяткам других компаний, предоставляющих в большей степени различные финансовые услуги при необъяснимых обстоятельствах были направлены через контролируемый российским правительством телекоммуникационный канал.

Аномалии в протоколе BGP (Border Gateway Protocol, протокол граничного шлюза), который маршрутизирует большие объемы трафика между интернет-магистралями, интернет-провайдерами и другими крупными сетями, чаще всего возникают в результате человеческой ошибки.

Инцидентом заинтересовались инженеры службы сетевого мониторинга BGPmon, которые опубликовали список организаций, сети которых оказались затронуты:

Below the list of affected networks (other Rostelecom networks excluded)

AS Autonomous System Name 49002 Federal State Unitary Enterprise Russian 3561 Savvis 41268 LANTA Ltd 2559 Visa International 8255 Euro-Information-Europeenne de Traitemen 31627 Servicios Para Medios De Pago S.A. 701 MCI Communications Services, Inc. d/b/a 3259 Docapost Bpo SAS 3303 Swisscom (Switzerland) Ltd 3741 IS 5553 State Educational Institution of Higher 5630 Worldline SA 8291 The Federal Guard Service of the Russian 8677 Worldline SA 9162 The State Educational Institution of Hig 9221 HSBC HongKong 9930 TIME dotCom Berhad 11383 Xand Corporation 12257 EMC Corporation 12578 SIA Lattelecom 12954 SIA S.p.A. 15468 38, Teatralnaya st. 15632 JSC Alfa-Bank 15742 PJSC CB PrivatBank 15835 ROSNIIROS Russian Institute for Public N 15919 Servicios de Hosting en Internet S.A. 18101 Reliance Communications Ltd.DAKC MUMBAI 25410 Bank Zachodni WBK S.A. 26380 MasterCard Technologies LLC 28827 Fortis Bank N.V. 30060 VeriSign Infrastructure & Operations 34960 Netcetera AG 35469 Ojsc Bank Avangard 50080 Provus Service Provider SA 50351 card complete Service Bank AG 61100 Norvik Banka AS 200163 Itera Norge AS

.

Способ перенаправления некоторых затронутых сетей показал, что их базовые префиксы были вручную вставлены в таблицы BGP. Эксперты из BGPmon заявляют, что это мог сделать кто-то из «Ростелекома», контролируемой российским правительством телекоммуникационной компании, которая неправильно объявила о своей собственности на блоки.

«Я бы классифицировал это как весьма подозрительное. Типичная причина этих ошибок — это своего рода внутренняя транспортная инженерия, но было бы странно, что кто-то ограничил бы их трафик в основном финансовыми сетями», — сказал Дуг Мадори, директор по интернет-анализу в компании по управлению сетью Dyn, передает Ars Technica.

Обычно сетевой трафик, связанный с MasterCard, Visa и другими пострадавшими компаниями, проходит через поставщиков услуг, которые компании нанимают и авторизуют. Используя таблицы маршрутизации BGP, авторизованные поставщики «объявляют своими» большие блоки IP-адресов, принадлежащих компаниям-клиентам. Однако в среду 26 апреля днем около 3:36 по тихоокеанскому времени, Ростелеком внезапно объявил о своем контроле над блоками. В результате трафик, поступающий в затронутые сети, начал проходить через маршрутизаторы Ростелекома. “Угон” длился пять-семь минут. Когда все было закончено, нормальная маршрутизация была восстановлена. Событие прекрасно отражено в графике.

Угон мог позволить неким людям в России перехватывать или манипулировать трафиком, поступающим в данное адресное пространство. Такой перехват или манипулирование было бы легче всего выполнить для данных, которые не были зашифрованы, но даже в случаях, когда они были зашифрованы, трафик все равно может быть расшифрован в отдельных случаях с использованием атак с такими именами, как Logjam и DROWN, которые работают против устаревших реализаций безопасности транспортного уровня, используемых некоторыми организациями.

Мадори обратил внимание, что даже если данные не могут быть дешифрованы, злоумышленники могут потенциально использовать переадресованный трафик, чтобы определить, какие стороны инициировали подключения к MasterCard и другим затронутым компаниям. Нападавший может затем напасть на те стороны, которые могут иметь более слабую защиту.

Должностные лица «Ростелекома» не ответили на запрос по электронной почте с просьбой прокомментировать данный инциндент.

Как Мадори, так и эксперты BGPmon оставляют открытой возможность того, что угон был непреднамеренным.

Случаи намеренного же перенаправления трафика BGP случались и ранее. В 2013 году Renesys, позднее приобретенный Dyn, сообщил, что огромные порции интернет-трафика, принадлежащие финансовым учреждениям, правительственным учреждениям и поставщикам сетевых услуг, неоднократно перенаправлялись в отдаленные районы, прежде чем, наконец, были переданы в их конечный пункт назначения. За девятимесячный период исследователи Renesys подсчитали 38 отклонений в маршрутизаторах белорусских или исландских поставщиков услуг. Эти хаки повлияли на «крупные финансовые учреждения, правительства и поставщиков сетевых услуг» в США, Южной Корее, Германии, Чехии, Литве, Ливии и Иране.

.

Справка:

BGP (англ. Border Gateway Protocol, протокол граничного шлюза) — динамический протокол маршрутизации. Относится к классу протоколов маршрутизации внешнего шлюза (англ. EGP — External Gateway Protocol).На текущий момент является основным протоколом динамической маршрутизации в сети Интернет. Протокол BGP предназначен для обмена информацией о достижимости подсетей между автономными системами (АС, англ. AS — autonomous system), то есть группами маршрутизаторов под единым техническим и административным управлением, использующими протокол внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие АС. Передаваемая информация включает в себя список АС, к которым имеется доступ через данную систему. Выбор наилучших маршрутов осуществляется исходя из правил, принятых в сети (Википедия)

.

.

Читайте также:

Минкомсвязь хочет заставить операторов обмениваться трафиком через государственную инфосистему

?

Государственный MITM-перехват: Наталья Касперская подтвердила желание властей дешифровать весь интернет-трафик россиян

?

Минкомсвязь при участии Совбеза РФ разработало законопроект о контроле всей инфраструктуры Рунета

?

Антивирусное ПО и межсетевые экраны перехватывают защищенный трафик, уменьшая безопасность интернет-соединения

?

Бум шифрования: объём защищённого трафика в Сети перевалил за 50%

.